spot_img
21.5 C
São Paulo
spot_img
HomeInvestments"Revelações Chocantes sobre os Ataques do Grupo Andariel!"

“Revelações Chocantes sobre os Ataques do Grupo Andariel!”

Atividades do Grupo Andariel e suas Implicações

No mês de agosto de 2024, três organizações distintas nos Estados Unidos foram alvo de um ator de ameaças patrocinado pelo estado norte-coreano conhecido como Andariel, como parte de um ataque com provável motivação financeira. Embora os atacantes não tenham conseguido implantar ransomware nas redes de nenhuma das organizações afetadas, a análise realizada pela Symantec, vinculada à Broadcom, sugere que os ataques eram financeiramente motivados.

Sobre Andariel

Andariel é um ator de ameaças que se destaca como um subgrupo do infame Lazarus Group, sendo também identificado como APT45, DarkSeoul, Nickel Hyatt, entre outros. Este grupo está ativo desde, pelo menos, 2009 e é parte da estrutura do Bureau Geral de Reconhecimento (RGB) da Coreia do Norte.

Táticas e Ferramentas Utilizadas

Os registros do grupo mostram um histórico de implantação de variantes de ransomware como SHATTEREDGLASS e Maui, além do desenvolvimento de um arsenal de backdoors personalizados, incluindo Dtrack (também conhecido como Valefor e Preft), TigerRAT, e Dora RAT.

Ferramentas Menos Conhecidas

Dentre as ferramentas menos conhecidas utilizadas pelo grupo, destacam-se:

Indiciamentos Recentes

Em julho de 2024, um integrante do grupo Andariel foi indiciado pelo Departamento de Justiça dos EUA (DoJ) por supostamente realizar ataques de ransomware contra instituições de saúde, utilizando os fundos obtidos para conduzir intrusões em entidades de defesa e tecnologia globalmente.

Características dos Últimos Ataques

A mais recente onda de ataques se caracteriza pelo uso do Dtrack e um backdoor denominado Nukebot, que possui habilidades para executar comandos, fazer uploads/downloads de arquivos e capturar telas. De acordo com a Symantec, “Nukebot não havia sido associado ao Stonefly anteriormente; no entanto, seu código-fonte foi vazado, e esta é provavelmente a forma como o Stonefly obteve a ferramenta.”

A maneira exata pela qual o acesso inicial foi obtido não é clara, embora Andariel frequentemente explore falhas de segurança conhecidas em aplicações expostas à internet.

Programas e Técnicas Adicionais

Entre os programas utilizados nas intrusões, destacam-se:

  • Mimikatz
  • Sliver
  • Chisel
  • PuTTY
  • Plink
  • Snap2HTML
  • FastReverseProxy (FRP)

Os atacantes também foram observados utilizando um certificado inválido que impersonava o software Tableau para assinar algumas ferramentas, uma tática já divulgada pela Microsoft.

Mudanças na Foco do Grupo

Embora Andariel tenha mudado seu foco para operações de espionagem desde 2019, a Symantec afirmou que sua transição para ataques com motivação financeira é um desenvolvimento relativamente recente, que continua apesar das ações do governo dos EUA. “O grupo provavelmente continua a tentar realizar ataques de extorsão contra organizações nos EUA”, acrescentaram.

Incidentes Recentes na Indústria de Defesa

A situação é mais preocupante, pois a revista Der Spiegel reportou que o fabricante de sistemas de defesa alemão Diehl Defense foi comprometido por um ator patrocinado pelo estado norte-coreano referenciado como Kimsuky, através de um sofisticado ataque de spear-phishing que envolveu o envio de ofertas de emprego falsas de contratantes americanos de defesa.

#Cibersegurança #MotivaçãoFinanceira #GrupoAndariel #AtaquesCibernéticos #EspionagemDigital
The Hacker News
https://thehackernews.com/2024/10/andariel-hacker-group-shifts-focus-to.html

latest articles

explore more