Het Amerikaanse ministerie van Justitie (DoJ) heeft donderdag een aanklacht ingediend tegen een medewerker van de Noord-Koreaanse militaire inlichtingendienst. Hij zou ransomware-aanvallen hebben uitgevoerd op zorginstellingen in het land en de betalingen hebben doorgesluisd naar aanvullende inbreuken op defensie-, technologie- en overheidsinstellingen over de hele wereld.
“Rim Jong Hyok en zijn medeplichtigen gebruikten ransomware om Amerikaanse ziekenhuizen en zorginstellingen af te persen, en wasten de opbrengsten vervolgens wit om de illegale activiteiten van Noord-Korea te financieren,” aldus Paul Abbate, adjunct-directeur van de Federal Bureau of Investigation (FBI). “Deze onaanvaardbare en onrechtmatige acties brachten onschuldige levens in gevaar.”
Tegelijkertijd met de aanklacht kondigde het Amerikaanse ministerie van Buitenlandse Zaken een beloning van maximaal 10 miljoen dollar aan voor informatie die zou kunnen leiden tot zijn verblijfplaats of de identificatie van andere personen in verband met de kwaadaardige activiteiten.
Hyok, onderdeel van een hackersbende genaamd Andariel (ook bekend als APT45, Nickel Hyatt, Onyx Sleet, Silent Chollima, Stonefly en TDrop2), zou achter afpersingsgerelateerde cyberaanvallen zitten met een ransomware-variant genaamd Maui, die voor het eerst in 2022 werd onthuld als gericht op organisaties in Japan en de VS.
De losgeldbetalingen werden witgewassen via tussenpersonen uit Hongkong. De illegale opbrengsten werden omgezet in Chinese yuan. Deze werden vervolgens opgenomen bij een geldautomaat en gebruikt om virtuele privéservers (VPS’en) aan te schaffen. Deze servers werden vervolgens gebruikt om gevoelige informatie over defensie en technologie te stelen.
Doelwitten van de campagne zijn onder meer twee Amerikaanse luchtmachtbases, NASA-OIG, maar ook Zuid-Koreaanse en Taiwanese defensie-aannemers en een Chinees energiebedrijf.
In een geval dat door het ministerie van Buitenlandse Zaken werd benadrukt, leidde een cyberaanval die in november 2022 begon ertoe dat de dreigingsactoren meer dan 30 gigabyte aan gegevens van een anonieme Amerikaanse defensie-aannemer exfiltreerden. Dit omvatte niet-geclassificeerde technische informatie over materiaal dat werd gebruikt in militaire vliegtuigen en satellieten.
De instanties hebben ook de “inbeslagname aangekondigd van ongeveer $ 114.000 aan virtuele valutaopbrengsten van ransomware-aanvallen en gerelateerde witwastransacties, evenals de inbeslagname van online accounts die door medeplichtigen werden gebruikt om hun kwaadaardige cyberactiviteiten uit te voeren.”
Andariel, die is aangesloten bij het 3e Bureau van het Reconnaissance General Bureau (RGB), heeft een staat van dienst als het gaat om aanvallen op buitenlandse bedrijven, overheden en de luchtvaart-, nucleaire en defensie-industrie. Het doel is om gevoelige en geheime technische informatie en intellectueel eigendom te verkrijgen om de militaire en nucleaire aspiraties van het regime te verwezenlijken.
Andere recente interessante doelwitten zijn Zuid-Koreaanse onderwijsinstellingen, bouwbedrijven en productiebedrijven.
“Deze groep vormt een voortdurende bedreiging voor verschillende industriële sectoren wereldwijd, waaronder, maar niet beperkt tot, entiteiten in de Verenigde Staten, Zuid-Korea, Japan en India”, aldus de National Security Agency (NSA). “De groep financiert hun spionageactiviteiten via ransomware-operaties tegen Amerikaanse zorginstellingen.”
De eerste toegang tot de doelnetwerken wordt verkregen door misbruik te maken van bekende N-day-beveiligingslekken in internettoepassingen. Hierdoor kan de hackersgroep vervolgonderzoek doen, bestandssysteem-enumeraties uitvoeren, persistentie toepassen, bevoegdheden uitbreiden, laterale verplaatsing uitvoeren en gegevens exfiltreren met behulp van een combinatie van aangepaste backdoors, Trojaanse paarden voor externe toegang, kant-en-klare hulpmiddelen en open-sourcehulpprogramma’s die ze tot hun beschikking hebben.
Andere gedocumenteerde verspreidingsmethoden voor malware zijn phishing-e-mails met schadelijke bijlagen, zoals LNK-bestanden (Microsoft Windows Shortcut) of HTA-scriptbestanden (HTML Application) in ZIP-archieven.
“De acteurs zijn goed thuis in het gebruik van native tools en processen op systemen, bekend als living-off-the-land (LotL)”, aldus het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). “Ze gebruiken Windows command line, PowerShell, Windows Management Instrumentation command line (WMIC) en Linux bash voor systeem-, netwerk- en account-enumeratie.”
Microsoft beschreef in zijn eigen advies over Andariel dat het bedrijf voortdurend bezig is met het ontwikkelen van zijn toolset om nieuwe functionaliteit toe te voegen en nieuwe manieren te implementeren om detectie te omzeilen, terwijl het een “redelijk uniform aanvalspatroon” vertoont.
“Onyx Sleet’s vermogen om een scala aan hulpmiddelen te ontwikkelen om zijn beproefde aanvalsketen te lanceren, maakt het een aanhoudende bedreiging, met name voor doelen die interessant zijn voor de Noord-Koreaanse inlichtingendienst, zoals organisaties in de defensie-, engineering- en energiesector”, aldus de Windows-maker.
Hieronder staan enkele van de opmerkelijke tools die door Microsoft worden uitgelicht:
- TigerRAT – Een malware die vertrouwelijke informatie kan stelen en opdrachten kan uitvoeren, zoals keylogging en schermopname, vanaf een command-and-control (C2)-server
- SmallTiger – Een C++-achterdeur
- LightHand – Een lichtgewicht backdoor voor externe toegang tot geïnfecteerde apparaten
- ValidAlpha (ook bekend als Black RAT) – Een op Go gebaseerde backdoor die een willekeurig bestand kan uitvoeren, de inhoud van een directory kan weergeven, een bestand kan downloaden, screenshots kan maken en een shell kan starten om willekeurige opdrachten uit te voeren
- Dora RAT – Een “eenvoudige malware-variant” met ondersteuning voor reverse shell en mogelijkheden voor het downloaden/uploaden van bestanden
“Ze zijn geëvolueerd van aanvallen die ontwrichtende aanvallen op Zuid-Koreaanse financiële instellingen tot aanvallen op de Amerikaanse gezondheidszorg met ransomware, beter bekend als Maui, hoewel niet op dezelfde schaal als andere Russischtalige cybercrimegroepen”, aldus Alex Rose, directeur van dreigingsonderzoek en overheidspartnerschappen bij Secureworks Counter Threat Unit.
“Dit is een aanvulling op hun primaire missie: het verzamelen van inlichtingen over buitenlandse militaire operaties en het verwerven van strategische technologie.”
Andariel is slechts één van de vele door de staat gesponsorde hackersgroepen die onder leiding van de Noord-Koreaanse overheid en het leger opereren, naast andere clusters zoals de Lazarus Group, BlueNoroff, Kimsuky en ScarCruft.
“Noord-Korea houdt zich al tientallen jaren bezig met het genereren van illegale inkomsten via criminele ondernemingen, om het gebrek aan binnenlandse industrie en de wereldwijde diplomatieke en economische isolatie te compenseren”, aldus Rose.
“Cyber werd snel omarmd als een strategische capaciteit die gebruikt kon worden voor zowel het verzamelen van inlichtingen als het verdienen van geld. Waar deze doelstellingen historisch gezien door verschillende groepen werden gedekt, is er de laatste jaren sprake van een vervaging van de grenzen en hebben veel van de cyberdreigingsgroepen die namens Noord-Korea opereren, zich ook beziggehouden met geldverdienende activiteiten.”
