Tres organizaciones diferentes en Estados Unidos fueron atacadas en agosto de 2024 por un actor de amenazas patrocinado por el Estado norcoreano llamado Andariel como parte de un ataque probablemente motivado por motivos financieros.<\/p>\n
“Si bien los atacantes no lograron implementar ransomware en las redes de ninguna de las organizaciones afectadas, es probable que los ataques tuvieran una motivaci\u00f3n financiera”, dijo Symantec, parte de Broadcom, en un informe<\/a> compartido con The Hacker News.<\/p>\n Andariel es un actor de amenazas que se considera un subgrupo dentro del infame Grupo Lazarus. Tambi\u00e9n se le rastrea como APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anteriormente Plutonium), Operation Troy, Silent Chollima y Stonefly. Ha estado activo desde al menos 2009.<\/p>\n Un elemento dentro de la Oficina General de Reconocimiento (RGB) de Corea del Norte, el equipo de hackers tiene un historial de implementaci\u00f3n de cepas de ransomware como SHATTEREDGLASS y Maui, al mismo tiempo que desarrolla un arsenal de puertas traseras personalizadas como Dtrack (tambi\u00e9n conocido como Valefor y Preft), TigerRAT, Black RAT. (tambi\u00e9n conocido como ValidAlpha), Dora RAT y LightHand.<\/p>\n Algunas de las otras herramientas menos conocidas utilizadas por el actor de amenazas incluyen una limpiador de datos<\/a> con nombre en c\u00f3digo Jokra y un implante avanzado<\/a> llamado Prioxer<\/a> que permite intercambiar comandos y datos con un servidor de comando y control (C2).<\/p>\n En julio de 2024, un operativo de inteligencia militar norcoreano del grupo Andariel fue acusado por el Departamento de Justicia (DoJ) de EE. UU. de supuestamente llevar a cabo ataques de ransomware contra instalaciones de salud en el pa\u00eds y utilizar los fondos mal habidos para realizar intrusiones adicionales en entidades de defensa, tecnolog\u00eda y gobierno en todo el mundo.<\/p>\n El \u00faltimo conjunto de ataques se caracteriza por el despliegue de Dtrack, as\u00ed como de otra puerta trasera llamada Nukebot, que viene con capacidades para ejecutar comandos, descargar y cargar archivos y tomar capturas de pantalla.<\/p>\n “Nukebot no se ha asociado con Stonefly antes; sin embargo, su c\u00f3digo fuente se filtr\u00f3 y es probable que as\u00ed sea como Stonefly obtuvo la herramienta”, dijo Symantec.<\/p>\n El m\u00e9todo exacto por el cual se abstuvo el acceso inicial no est\u00e1 claro, aunque Andariel tiene la costumbre de explotar fallas de seguridad conocidas del d\u00eda N en aplicaciones conectadas a Internet para violar las redes de destino.<\/p>\n Algunos de los otros programas utilizados en las intrusiones son Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML y FastReverseProxy (FRP), todos los cuales son de c\u00f3digo abierto o est\u00e1n disponibles p\u00fablicamente. <\/p>\n Tambi\u00e9n se ha observado que los atacantes utilizan un certificado no v\u00e1lido que se hace pasar por el software de Tableau para firmar algunas de las herramientas, una t\u00e1ctica previamente revelada por Microsoft.<\/p>\n Si bien Andariel ha visto su enfoque cambiarse a operaciones de espionaje desde 2019, Symantec dijo que su giro hacia ataques con motivaci\u00f3n financiera es un desarrollo relativamente reciente, que ha continuado a pesar de las acciones del gobierno de EE. UU.<\/p>\n “Es probable que el grupo siga intentando organizar ataques de extorsi\u00f3n contra organizaciones en Estados Unidos”, a\u00f1adi\u00f3.<\/p>\n El desarrollo llega como Der Spiegel reportado<\/a> que el fabricante alem\u00e1n de sistemas de defensa Diehl Defense se vio comprometido por un actor respaldado por el Estado norcoreano conocido como Kimsuky en un sofisticado ataque de phishing que implic\u00f3 el env\u00edo de ofertas de trabajo falsas de contratistas de defensa estadounidenses.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/10\/Andariel-Hacking-Group-cambia-su-enfoque-hacia-ataques-financieros-a.png\")
<\/a><\/center><\/div>\n<\/a><\/center><\/div>\n