مجموعة Andariel Hacking Group تحول تركيزها إلى الهجمات المالية على المنظمات الأمريكية
على الرغم من أن المهاجمين لم ينجحوا في نشر برامج الفدية على شبكات أي من المنظمات المتضررة، فمن المرجح أن تكون الهجمات ذات دوافع مالية
تم استهداف ثلاث منظمات مختلفة في الولايات المتحدة في أغسطس 2024 من قبل جهة تهديد ترعاها الدولة في كوريا الشمالية تُدعى Andariel كجزء من هجوم محتمل بدوافع مالية.
وقالت سيمانتيك، وهي جزء من برودكوم، في بيان: “على الرغم من أن المهاجمين لم ينجحوا في نشر برامج الفدية على شبكات أي من المنظمات المتضررة، فمن المرجح أن تكون الهجمات ذات دوافع مالية”. تقرير تمت مشاركتها مع The Hacker News.
Andariel هو ممثل تهديد تم تقييمه على أنه مجموعة فرعية ضمن مجموعة Lazarus Group سيئة السمعة. يتم تتبعها أيضًا باسم APT45، وDarkSeoul، وNickel Hyatt، وOnyx Sleet (بلوتونيوم سابقًا)، وOperation Troy، وSilent Chollima، وStonefly. لقد كانت نشطة منذ عام 2009 على الأقل.
أحد العناصر داخل مكتب الاستطلاع العام في كوريا الشمالية (RGB)، يتمتع طاقم القرصنة بسجل حافل في نشر سلالات برامج الفدية مثل SHATTEREDGLASS وMaui، مع تطوير ترسانة من الأبواب الخلفية المخصصة مثل Dtrack (المعروف أيضًا باسم Valefor وPreft)، وTigerRAT، وBlack RAT. (ويعرف أيضًا باسم ValidAlpha)، وDora RAT، وLightHand.
تتضمن بعض الأدوات الأخرى الأقل شهرة التي يستخدمها ممثل التهديد أ ممسحة البيانات الاسم الرمزي جوكرا و زرع متقدم مُسَمًّى بريوكسير الذي يسمح بتبادل الأوامر والبيانات مع خادم القيادة والتحكم (C2).
في يوليو 2024، اتهمت وزارة العدل الأمريكية أحد عملاء المخابرات العسكرية الكورية الشمالية التابع لمجموعة Andariel بزعم تنفيذ هجمات فدية ضد مرافق الرعاية الصحية في البلاد واستخدام الأموال غير المشروعة لإجراء عمليات اقتحام إضافية لمنشآت الرعاية الصحية في البلاد. الدفاع والتكنولوجيا والهيئات الحكومية في جميع أنحاء العالم.
تتميز أحدث مجموعة من الهجمات بنشر Dtrack، بالإضافة إلى باب خلفي آخر يسمى Nukebot، والذي يأتي مزودًا بقدرات تنفيذ الأوامر، وتنزيل الملفات وتحميلها، والتقاط لقطات الشاشة.
وقالت سيمانتيك: “لم يتم ربط Nukebot بـ Stonefly من قبل، ومع ذلك، فقد تم تسريب الكود المصدري الخاص به، ومن المحتمل أن تكون هذه هي الطريقة التي حصل بها Stonefly على الأداة”.
الطريقة الدقيقة التي تم بها الامتناع عن الوصول الأولي غير واضحة، على الرغم من أن Andariel لديه عادة استغلال العيوب الأمنية المعروفة في N-day في التطبيقات التي تواجه الإنترنت لاختراق الشبكات المستهدفة.
بعض البرامج الأخرى المستخدمة في عمليات التطفل هي Mimikatz، وSliver، وChisel، وPuTTY، وPlink، وSnap2HTML، وFastReverseProxy (FRP)، وجميعها إما مفتوحة المصدر أو متاحة للعامة.
وقد لوحظ أيضًا أن المهاجمين يستخدمون شهادة غير صالحة تنتحل شخصية برنامج Tableau للتوقيع على بعض الأدوات، وهو تكتيك كشفت عنه Microsoft مسبقًا.
وبينما شهدت Andariel تحول تركيزها إلى عمليات التجسس منذ عام 2019، قالت سيمانتيك إن محورها للهجمات ذات الدوافع المالية هو تطور حديث نسبيًا، وهو تطور استمر على الرغم من الإجراءات التي اتخذتها الحكومة الأمريكية.
وأضاف أن “المجموعة تواصل على الأرجح محاولتها شن هجمات ابتزاز ضد منظمات في الولايات المتحدة”.
يأتي التطوير باسم Der Spiegel ذكرت أن الشركة المصنعة لأنظمة الدفاع الألمانية Diehl Defense تعرضت للاختراق من قبل جهة فاعلة مدعومة من الدولة الكورية الشمالية يشار إليها باسم Kimsuky في هجوم تصيد متطور يتضمن إرسال عروض عمل مزيفة من مقاولي الدفاع الأمريكيين.
