Tres organizaciones diferentes en Estados Unidos fueron atacadas en agosto de 2024 por un actor de amenazas patrocinado por el Estado norcoreano llamado Andariel como parte de un ataque probablemente motivado por motivos financieros.
«Si bien los atacantes no lograron implementar ransomware en las redes de ninguna de las organizaciones afectadas, es probable que los ataques tuvieran una motivación financiera», dijo Symantec, parte de Broadcom, en un informe compartido con The Hacker News.
Andariel es un actor de amenazas que se considera un subgrupo dentro del infame Grupo Lazarus. También se le rastrea como APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anteriormente Plutonium), Operation Troy, Silent Chollima y Stonefly. Ha estado activo desde al menos 2009.
Un elemento dentro de la Oficina General de Reconocimiento (RGB) de Corea del Norte, el equipo de hackers tiene un historial de implementación de cepas de ransomware como SHATTEREDGLASS y Maui, al mismo tiempo que desarrolla un arsenal de puertas traseras personalizadas como Dtrack (también conocido como Valefor y Preft), TigerRAT, Black RAT. (también conocido como ValidAlpha), Dora RAT y LightHand.
Algunas de las otras herramientas menos conocidas utilizadas por el actor de amenazas incluyen una limpiador de datos con nombre en código Jokra y un implante avanzado llamado Prioxer que permite intercambiar comandos y datos con un servidor de comando y control (C2).
En julio de 2024, un operativo de inteligencia militar norcoreano del grupo Andariel fue acusado por el Departamento de Justicia (DoJ) de EE. UU. de supuestamente llevar a cabo ataques de ransomware contra instalaciones de salud en el país y utilizar los fondos mal habidos para realizar intrusiones adicionales en entidades de defensa, tecnología y gobierno en todo el mundo.
El último conjunto de ataques se caracteriza por el despliegue de Dtrack, así como de otra puerta trasera llamada Nukebot, que viene con capacidades para ejecutar comandos, descargar y cargar archivos y tomar capturas de pantalla.
«Nukebot no se ha asociado con Stonefly antes; sin embargo, su código fuente se filtró y es probable que así sea como Stonefly obtuvo la herramienta», dijo Symantec.
El método exacto por el cual se abstuvo el acceso inicial no está claro, aunque Andariel tiene la costumbre de explotar fallas de seguridad conocidas del día N en aplicaciones conectadas a Internet para violar las redes de destino.
Algunos de los otros programas utilizados en las intrusiones son Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML y FastReverseProxy (FRP), todos los cuales son de código abierto o están disponibles públicamente.
También se ha observado que los atacantes utilizan un certificado no válido que se hace pasar por el software de Tableau para firmar algunas de las herramientas, una táctica previamente revelada por Microsoft.
Si bien Andariel ha visto su enfoque cambiarse a operaciones de espionaje desde 2019, Symantec dijo que su giro hacia ataques con motivación financiera es un desarrollo relativamente reciente, que ha continuado a pesar de las acciones del gobierno de EE. UU.
«Es probable que el grupo siga intentando organizar ataques de extorsión contra organizaciones en Estados Unidos», añadió.
El desarrollo llega como Der Spiegel reportado que el fabricante alemán de sistemas de defensa Diehl Defense se vio comprometido por un actor respaldado por el Estado norcoreano conocido como Kimsuky en un sofisticado ataque de phishing que implicó el envío de ofertas de trabajo falsas de contratistas de defensa estadounidenses.