Drie verschillende organisaties in de VS werden in augustus 2024 het doelwit van een door de Noord-Koreaanse staat gesponsorde dreigingsacteur genaamd Andariel als onderdeel van een waarschijnlijk financieel gemotiveerde aanval.
“Hoewel de aanvallers er niet in zijn geslaagd ransomware in te zetten op de netwerken van de getroffen organisaties, is het waarschijnlijk dat de aanvallen financieel gemotiveerd waren”, zegt Symantec, onderdeel van Broadcom, in een rapport gedeeld met The Hacker News.
Andariel is een bedreigingsacteur die wordt beschouwd als een subcluster binnen de beruchte Lazarus Group. Het wordt ook gevolgd als APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (voorheen Plutonium), Operation Troy, Silent Chollima en Stonefly. Het is actief sinds minstens 2009.
De hackers maken deel uit van het Reconnaissance General Bureau (RGB) van Noord-Korea en hebben een staat van dienst in het inzetten van ransomware-soorten zoals SHATTEREDGLASS en Maui, terwijl ze ook een arsenaal aan aangepaste achterdeurtjes ontwikkelen, zoals Dtrack (ook bekend als Valefor en Preft), TigerRAT en Black RAT (ook bekend als ValidAlpha), Dora RAT en LightHand.
Enkele van de andere, minder bekende tools die door de bedreigingsacteur worden gebruikt, zijn onder meer een datawisser met de codenaam Jokra en een geavanceerd implantaat genaamd Prioxer waarmee opdrachten en gegevens kunnen worden uitgewisseld met een command-and-control (C2)-server.
In juli 2024 werd een Noord-Koreaanse militaire inlichtingendienst die deel uitmaakte van de Andariel-groep door het Amerikaanse ministerie van Justitie aangeklaagd wegens het naar verluidt uitvoeren van ransomware-aanvallen op gezondheidszorginstellingen in het land en het gebruiken van de onrechtmatig verkregen gelden om nog meer inbraken te plegen in het land. defensie-, technologie- en overheidsinstanties over de hele wereld.
De nieuwste reeks aanvallen wordt gekenmerkt door de inzet van Dtrack, evenals een andere achterdeur genaamd Nukebot, die wordt geleverd met mogelijkheden om opdrachten uit te voeren, bestanden te downloaden en te uploaden en schermafbeeldingen te maken.
“Nukebot is nog niet eerder in verband gebracht met Stonefly, maar de broncode is gelekt en dit is waarschijnlijk de manier waarop Stonefly de tool heeft verkregen”, aldus Symantec.
De exacte methode waarmee aanvankelijke toegang werd onthouden is onduidelijk, hoewel Andariel de gewoonte heeft bekende N-day-beveiligingsfouten in internetgerichte applicaties te misbruiken om doelnetwerken te doorbreken.
Enkele van de andere programma’s die bij de inbraken worden gebruikt, zijn Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML en FastReverseProxy (FRP), die allemaal open source of openbaar beschikbaar zijn.
Er is ook waargenomen dat de aanvallers een ongeldig certificaat gebruikten dat de software van Tableau nabootst om een aantal van de tools te ondertekenen, een tactiek die eerder door Microsoft werd onthuld.
Hoewel Andariel sinds 2019 de focus heeft zien verschuiven naar spionageoperaties, zegt Symantec dat de draai naar financieel gemotiveerde aanvallen een relatief recente ontwikkeling is, een ontwikkeling die zich heeft voortgezet ondanks acties van de Amerikaanse overheid.
“De groep zal waarschijnlijk doorgaan met het opzetten van afpersingsaanvallen tegen organisaties in de VS”, voegde het eraan toe.
De ontwikkeling komt op het moment dat Der Spiegel meldde dat de Duitse fabrikant van defensiesystemen Diehl Defense werd gecompromitteerd door een Noord-Koreaanse staatsgesteunde acteur, Kimsuky genaamd, in een geavanceerde spear-phishing-aanval waarbij valse vacatures van Amerikaanse defensie-aannemers werden verzonden.