spot_img
21 C
São Paulo
spot_img
HomeTop Global NewsAI"Coreia do Norte ataca empresas dos EUA: Descubra como!"

“Coreia do Norte ataca empresas dos EUA: Descubra como!”

Ameaça Persistente Avançada Norte-Coreana: Foco em Empresas Privadas dos EUA

Um conhecido grupo de Ameaça Persistente Avançada (APT) da Coreia do Norte mudou seu foco para atacar empresas privadas nos Estados Unidos com intuito de obter ganhos financeiros.

Pesquisadores da equipe de caçadores de ameaças da Symantec relataram esta semana que o grupo patrocinado pelo estado, que eles monitoram como “Stonefly” (também conhecido como Andariel, APT45, Silent Chollima e Onyx Sleet), está se aproveitando de uma acusação e de uma $10 milhões de recompensa do Departamento de Justiça dos EUA (DoJ), para arrecadar mais fundos para o regime de Kim Jong-Un.

Objetivo e Atuação da Stonefly

A Stonefly, que faz parte do Bureau Geral de Reconhecimento da Coreia do Norte (RGB), realizou ataques contra três organizações nos EUA em agosto, cerca de um mês após o DoJ ter tomado ações contra o grupo. Os pesquisadores observaram que as vítimas não tinham “valor de inteligência óbvio” e provavelmente estavam sendo preparadas para um ataque de ransomware — embora as intrusões tenham sido detectadas antes de a situação se agravar.

Esse foco em arrecadar fundos representa um novo desvio da estratégia do grupo. Os pesquisadores da Symantec enfatizaram que outros APTs norte-coreanos estão dedicados à extração de moeda estrangeira para o regime. No passado, a Stonefly visou hospitais e outros provedores de saúde durante a pandemia, o que despertou a atenção do DoJ, e é conhecida por atacar alvos de espionagem de alto valor, como bases da Força Aérea dos EUA, o Escritório do Inspetor Geral da NASA e organizações governamentais na China, Coreia do Sul e Taiwan.

“Desde pelo menos 2019, a Symantec observou que seu foco mudou principalmente para operações de espionagem contra alvos selecionados e de alto valor,” segundo a análise. “Parece que a Stonefly se especializou em atacar organizações que possuem informações classificadas ou propriedade intelectual altamente sensível … [Stonefly] não tinha se envolvido em ataques motivados financeiramente.”

Indicadores de Comprometimento da Stonefly

Com o foco menos direcionado da Stonefly em obter fundos de empresas privadas desavisadas, é crucial que negócios do dia a dia, que podem não se considerar alvos de APT, se familiarizem com os indicadores de comprometimento (IoCs) do grupo.

Embora o ransomware não tenha sido implementado nos ataques de agosto e o caminho inicial de comprometimento não esteja claro, a Stonefly ainda conseguiu infiltrar muitas ferramentas antes de ser impedida.

“Em vários ataques, o malware personalizado da Stonefly, Backdoor.Preft (também conhecido como Dtrack, Valefor), foi implantado,” de acordo com a postagem da Symantec. “Além disso, os atacantes usaram um certificado falso do Tableau, documentado pela Microsoft, além de outros dois certificados que parecem ser únicos para esta campanha.”

Ferramentas Utilizadas pela Stonefly

A caixa de ferramentas do grupo incluiu:

  • Nukebot: um backdoor capaz de executar comandos, baixar e enviar arquivos, e tirar capturas de tela;
  • Mimikatz;
  • Dois keyloggers diferentes;
  • Sliver: um framework de testes de penetração de código aberto multiplataforma;
  • Cliente SSH PuTTY;
  • Plink;
  • Megatools;
  • Utilitário para capturar estruturas de pastas em um disco rígido e salvá-las como arquivos HTML;
  • FastReverseProxy: que pode expor servidores locais à Internet pública.

#cybersecurity #APT #NorthKorea #threatintelligence #ransomware

2024-10-02T21:40:13.000Z
Tara Seals, Managing Editor, News, Dark Reading
ref:https://www.darkreading.com/vulnerabilities-threats/stonefly-apt-us-private-cos-north-korean-profit

latest articles

explore more