Aux États-Unis, trois organisations différentes ont été ciblées en août 2024 par un acteur menaçant parrainé par l’État nord-coréen appelé Andariel, dans le cadre d’une attaque probablement motivée par des raisons financières.
« Bien que les attaquants n’aient réussi à déployer un ransomware sur les réseaux d’aucune des organisations concernées, il est probable que les attaques étaient motivées par des raisons financières », a déclaré Symantec, qui fait partie de Broadcom, dans un communiqué. rapport partagé avec The Hacker News.
Andariel est un acteur menaçant considéré comme un sous-groupe au sein du tristement célèbre groupe Lazarus. Il est également suivi sous les noms d’APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anciennement Plutonium), Operation Troy, Silent Chollima et Stonefly. Il est actif depuis au moins 2009.
Élément du Bureau général de reconnaissance (RGB) de Corée du Nord, l’équipe de piratage a fait ses preuves dans le déploiement de souches de ransomwares telles que SHATTEREDGLASS et Maui, tout en développant également un arsenal de portes dérobées personnalisées telles que Dtrack (alias Valefor et Preft), TigerRAT, Black RAT. (alias ValidAlpha), Dora RAT et LightHand.
Certains des autres outils moins connus utilisés par l’acteur malveillant incluent un effaceur de données nom de code Jokra et un implant avancé appelé Priorité qui permet d’échanger des commandes et des données avec un serveur de commande et de contrôle (C2).
En juillet 2024, un agent du renseignement militaire nord-coréen faisant partie du groupe Andariel a été inculpé par le ministère américain de la Justice (DoJ) pour avoir prétendument mené des attaques de ransomware contre des établissements de santé du pays et utilisé les fonds mal acquis pour mener des intrusions supplémentaires dans le pays. la défense, la technologie et les entités gouvernementales à travers le monde.
La dernière série d’attaques se caractérise par le déploiement de Dtrack, ainsi que d’une autre porte dérobée nommée Nukebot, dotée de capacités permettant d’exécuter des commandes, de télécharger et de télécharger des fichiers et de prendre des captures d’écran.
« Nukebot n’a jamais été associé à Stonefly auparavant ; cependant, son code source a été divulgué et c’est probablement ainsi que Stonefly a obtenu l’outil », a déclaré Symantec.
La méthode exacte par laquelle l’accès initial a été refusé n’est pas claire, bien qu’Andariel ait l’habitude d’exploiter les failles de sécurité connues de N jours dans les applications Internet pour violer les réseaux cibles.
Certains des autres programmes utilisés dans les intrusions sont Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML et FastReverseProxy (FRP), qui sont tous open source ou accessibles au public.
Les attaquants ont également été observés en train d’utiliser un certificat invalide se faisant passer pour le logiciel Tableau pour signer certains outils, une tactique précédemment révélée par Microsoft.
Alors qu’Andariel a vu son attention se concentrer sur les opérations d’espionnage depuis 2019, Symantec a déclaré que son orientation vers des attaques à motivation financière est un développement relativement récent, qui s’est poursuivi malgré les actions du gouvernement américain.
« Le groupe continue probablement de tenter d’organiser des attaques d’extorsion contre des organisations aux États-Unis », a-t-il ajouté.
Le développement intervient alors que Der Spiegel signalé que le fabricant allemand de systèmes de défense Diehl Defence a été compromis par un acteur soutenu par l’État nord-coréen appelé Kimsuky dans une attaque sophistiquée de spear phishing qui impliquait l’envoi de fausses offres d’emploi d’entrepreneurs de défense américains.