Três organizações diferentes nos EUA foram alvo em agosto de 2024 de um ataque provavelmente motivado financeiramente, conduzido por um ator de ameaças patrocinado pelo estado norte-coreano chamado Andariel.
"Embora os agressores não tenham conseguido implantar ransomware nas redes de nenhuma das organizações afetadas, é provável que os ataques tenham sido motivados financeiramente", disse a Symantec, parte da Broadcom, em um relatório compartilhado.
Andariel é um ator de ameaça que é considerado um subgrupo dentro do notório Lazarus Group.
Ele também é rastreado como APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anteriormente Plutonium), Operation Troy, Silent Chollima e Stonefly.
Está ativo desde pelo menos 2009.
Um elemento dentro do Reconnaissance General Bureau (RGB) da Coreia do Norte, a equipe de hackers tem um histórico de implantação de estirpes de ransomware como SHATTEREDGLASS e Maui, desenvolvendo também um arsenal de backdoors customizados como Dtrack (também conhecido como Valefor e Preft), TigerRAT, Black RAT (também conhecido como ValidAlpha), Dora RAT e LightHand.
Algumas das outras ferramentas menos conhecidas usadas pelo ator de ameaça incluem um data wiper codinome Jokra e um implante avançado chamado Prioxer que permite a troca de comandos e dados com um servidor de comando e controle (C2).
Em julho de 2024, um operativo de inteligência militar norte-coreano parte do grupo Andariel foi indiciado pelo Departamento de Justiça dos EUA (DoJ) por supostamente realizar ataques de ransomware contra instalações de saúde no país e usar os fundos obtidos ilegalmente para conduzir intrusões adicionais em defesa, tecnologia e entidades governamentais pelo mundo.
O mais recente conjunto de ataques é caracterizado pelo uso de Dtrack, bem como outro backdoor chamado Nukebot, que vem com capacidades para executar comandos, baixar e subir arquivos e tirar capturas de tela.
"Nukebot não havia sido associado antes com Stonefly; no entanto, seu código-fonte foi vazado e é provável que assim Stonefly tenha obtido a ferramenta", disse a Symantec.
O método exato pelo qual o acesso inicial foi obtido não está claro, embora Andariel tenha o hábito de explorar falhas de segurança N-day conhecidas em aplicações voltadas para a internet para violar redes-alvo.
Alguns dos outros programas usados nas intrusões são Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML e FastReverseProxy (FRP), todos os quais são open-source ou publicamente disponíveis.
Os atacantes também foram observados usando um certificado inválido que se passa pelo software Tableau para assinar algumas das ferramentas, uma tática previamente divulgada pela Microsoft.
Enquanto Andariel viu seu foco mudar para operações de espionagem desde 2019, a Symantec disse que sua mudança para ataques motivados financeiramente é um desenvolvimento relativamente recente, que continuou apesar das ações do governo dos EUA.
"O grupo provavelmente continua tentando realizar ataques de extorsão contra organizações nos EUA", acrescentou.
O desenvolvimento vem à medida que a Der Spiegel relatou que o fabricante alemão de sistemas de defesa Diehl Defense foi comprometido por um ator apoiado pelo estado norte-coreano referido como Kimsuky em um ataque de spear-phishing sofisticado que envolveu o envio de falsas ofertas de emprego de contratantes de defesa americanos.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...