Três organizações diferentes nos EUA foram alvo em agosto de 2024 de um ator ameaçador patrocinado pelo governo norte-coreano chamado Andariel como parte de um possível ataque financeiro.
“Embora os atacantes não tenham conseguido instalar ransomware nas redes de nenhuma das organizações afetadas, é possível que este ataque tenha sido relacionado financeiramente”, disse a Symantec, que faz parte da Broadcom, num relatório partilhado com o The Hacker News.
Andariel é um personagem ameaçador considerado um subgrupo do famoso grupo Lázaro. Também rastreado como APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anteriormente conhecido como Plutonium), Operation Troy, Silent Chollima e Stonefly. Está em operação desde pelo menos 2009.
Uma entidade dentro do Reconnaissance General Bureau (RGB) da Coreia do Norte, a equipe de hackers tem um histórico de uso de marcas de ransomware como SHATTEREDGLASS e Maui, ao mesmo tempo que desenvolve um conjunto de malware personalizado, como Dtrack (também conhecido como Valefor e Preft), o -TigerRAT, o RATO Preto. (também conhecido como ValidAlpha), Dora RAT e LightHand.
Outras ferramentas menos conhecidas usadas pelo agente da ameaça incluem um apagador de dados criptografados chamado Jokra e um adulterador avançado chamado Prioxer, que permite a troca de comandos e dados por meio de um servidor de comando e controle (C2).
Em Julho de 2024, uma agência de inteligência norte-coreana que faz parte do grupo Andariel foi indiciada pelo Departamento de Justiça dos EUA (DoJ) por supostamente realizar ataques de ransomware a instalações de saúde no país e usar ganhos ilícitos para cometer outros crimes. defesa, tecnologia e organizações governamentais em todo o mundo.
O último conjunto de ataques é caracterizado pela distribuição do Dtrack e outro backdoor chamado Nukebot, que vem com a capacidade de executar comandos, baixar e enviar arquivos e fazer capturas de tela.
“O Nukebot não estava associado anteriormente ao Stonefly; no entanto, seu código-fonte vazou e pode ser como o Stonefly obteve a ferramenta”, disse a Symantec.
O mecanismo exato pelo qual o acesso inicial foi cortado não é claro, embora Andariel tenha o hábito de explorar falhas de segurança conhecidas de N dias em programas voltados para a Internet para violar redes alvo.
Alguns dos programas usados para registro são Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML e FastReverseProxy (FRP), todos de código aberto ou disponíveis publicamente.
Os invasores também foram vistos usando um certificado inválido para se passar pelo software Tableau e assinar outras ferramentas, uma tática divulgada anteriormente pela Microsoft.
Embora Andariel tenha se concentrado na espionagem desde 2019, a Symantec disse que sua base de ataques com motivação financeira é um desenvolvimento recente, que continua apesar das ações do governo dos EUA.
“O grupo pode continuar a tentar atacar organizações americanas”, acrescentou.
O desenvolvimento ocorre no momento em que o Der Spiegel informa que o fabricante alemão de sistemas de defesa Diehl Defense foi comprometido por um ator apoiado pelo governo norte-coreano chamado Kimsuky em um ataque sofisticado que envolveu o envio de ofertas de emprego falsas a empreiteiros americanos.
