Três organizações diferentes nos EUA foram alvo em agosto de 2024 de um ator ameaçador patrocinado pelo Estado norte-coreano chamado Andariel, como parte de um provável ataque com motivação financeira.
“Embora os invasores não tenham conseguido implantar ransomware nas redes de nenhuma das organizações afetadas, é provável que os ataques tenham sido motivados financeiramente”, disse a Symantec, parte da Broadcom, em um relatório compartilhado com o The Hacker Information.
Andariel é um ator de ameaça avaliado como um subgrupo do infame Grupo Lazarus. Também é rastreado como APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anteriormente Plutonium), Operation Troy, Silent Chollima e Stonefly. Está ativo desde pelo menos 2009.
Um elemento do Reconnaissance Common Bureau (RGB) da Coreia do Norte, a equipe de hackers tem um histórico de implantação de cepas de ransomware como SHATTEREDGLASS e Maui, ao mesmo tempo que desenvolve um arsenal de backdoors personalizados como Dtrack (também conhecido como Valefor e Preft), TigerRAT, Black RAT (também conhecido como ValidAlpha), Dora RAT e LightHand.
Algumas das outras ferramentas menos conhecidas usadas pelo agente da ameaça incluem um limpador de dados de codinome Jokra e um implante avançado chamado Prioxer, que permite a troca de comandos e dados com um servidor de comando e controle (C2).
Em julho de 2024, um agente da inteligência militar norte-coreana, parte do grupo Andariel, foi indiciado pelo Departamento de Justiça dos EUA (DoJ) por supostamente realizar ataques de ransomware contra instalações de saúde no país e usar fundos ilícitos para conduzir intrusões adicionais em defesa, tecnologia e entidades governamentais em todo o mundo.
O último conjunto de ataques é caracterizado pela implantação do Dtrack, bem como outro backdoor chamado Nukebot, que vem com recursos para executar comandos, baixar e enviar arquivos e fazer capturas de tela.
“O Nukebot não foi associado ao Stonefly antes; no entanto, seu código-fonte vazou e foi provavelmente assim que o Stonefly obteve a ferramenta”, disse a Symantec.
O método exato pelo qual o acesso inicial foi abstido não é claro, embora Andariel tenha o hábito de explorar falhas de segurança conhecidas de N dias em aplicativos voltados para a Web para violar redes alvo.
Alguns dos outros programas usados nas invasões são Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML e FastReverseProxy (FRP), todos de código aberto ou disponíveis publicamente.
Os invasores também foram observados usando um certificado inválido que se fazia passar pelo software program Tableau para assinar algumas das ferramentas, uma tática divulgada anteriormente pela Microsoft.
Embora Andariel tenha visto seu foco mudar para operações de espionagem desde 2019, a Symantec disse que seu pivô para ataques com motivação financeira é um desenvolvimento relativamente recente, que continuou apesar das ações do governo dos EUA.
“O grupo provavelmente continua a tentar organizar ataques de extorsão contra organizações nos EUA”, acrescentou.
O desenvolvimento ocorre no momento em que Der Spiegel informou que o fabricante alemão de sistemas de defesa Diehl Protection foi comprometido por um ator norte-coreano apoiado pelo Estado, conhecido como Kimsuky, em um sofisticado ataque de spear-phishing que envolveu o envio de ofertas de emprego falsas de empreiteiros de defesa americanos.
