Ağustos 2024’te ABD’deki üç farklı kuruluş, muhtemelen finansal amaçlı bir saldırının parçası olarak Andariel adlı Kuzey Kore devleti destekli bir tehdit aktörü tarafından hedef alındı.
Broadcom’un bir parçası olan Symantec, The Hacker News ile paylaşılan bir raporda, “Saldırganlar, etkilenen kuruluşların herhangi birinin ağına fidye yazılımı yerleştirmeyi başaramamış olsa da, saldırıların finansal amaçlı olması muhtemeldir.” dedi.
Andariel, kötü şöhretli Lazarus Grubu’nun bir alt kümesi olarak değerlendirilen bir tehdit aktörüdür. Ayrıca APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (eski adıyla Plutonium), Troy Operasyonu, Silent Chollima ve Stonefly isimleriyle de takip ediliyor. En az 2009’dan beri aktiftir.
Kuzey Kore’nin Genel Keşif Bürosu’nun (RGB) bir unsuru olan bilgisayar korsanlığı ekibinin, SHATTEREDGLASS ve Maui gibi fidye yazılımı türlerini dağıtma konusunda bir geçmişi var ve aynı zamanda Dtrack (diğer adıyla Valefor ve Preft), TigerRAT, Black RAT gibi özel arka kapılardan oluşan bir cephanelik de geliştiriyor. (aka ValidAlpha), Dora RAT ve LightHand.
Tehdit aktörünün kullandığı daha az bilinen diğer araçlardan bazıları arasında Jokra kod adlı bir veri silici ve bir komuta ve kontrol (C2) sunucusuyla komut ve veri alışverişine olanak tanıyan Prioxer adı verilen gelişmiş bir implant yer alıyor.
Temmuz 2024’te Andariel grubunun bir Kuzey Kore askeri istihbarat görevlisi, ABD Adalet Bakanlığı (DoJ) tarafından ülkedeki sağlık tesislerine fidye yazılımı saldırıları gerçekleştirdiği ve yasadışı yollarla elde edilen fonları ek izinsiz girişler yapmak için kullandığı iddiasıyla suçlandı. Dünya çapında savunma, teknoloji ve devlet kurumları.
En son saldırı dizisi, Dtrack’ın yanı sıra komutları yürütme, dosya indirme ve yükleme ve ekran görüntüsü alma yetenekleriyle birlikte gelen Nukebot adlı başka bir arka kapının konuşlandırılmasıyla karakterize ediliyor.
Symantec, “Nukebot’un daha önce Stonefly ile ilişkilendirilmediğini ancak kaynak kodunun sızdırıldığını ve muhtemelen Stonefly’ın aracı bu şekilde elde ettiğini” söyledi.
İlk erişimin engellendiği kesin yöntem belirsiz olsa da Andariel, hedef ağları ihlal etmek için internete yönelik uygulamalardaki bilinen N günlük güvenlik açıklarından yararlanma alışkanlığına sahip.
İzinsiz girişlerde kullanılan diğer programlardan bazıları Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML ve FastReverseProxy (FRP) olup bunların tümü açık kaynaklıdır veya halka açıktır.
Saldırganların ayrıca Microsoft tarafından daha önce açıklanan bir taktik olan bazı araçları imzalamak için Tableau yazılımını taklit eden geçersiz bir sertifika kullandıkları da gözlemlendi.
Andariel, 2019’dan bu yana odak noktasının casusluk operasyonlarına kaydığını görse de Symantec, mali amaçlı saldırılara yönelmesinin nispeten yeni bir gelişme olduğunu ve ABD hükümetinin eylemlerine rağmen devam eden bir gelişme olduğunu söyledi.
Açıklamada, “Grubun muhtemelen ABD’deki kuruluşlara yönelik şantaj saldırıları düzenleme girişiminde bulunmaya devam edeceği” ifade edildi.
Gelişme, Der Spiegel’in, Alman savunma sistemleri üreticisi Diehl Defense’in, Kimsuky olarak anılan Kuzey Kore devlet destekli bir aktör tarafından, Amerikalı savunma yüklenicilerinden sahte iş teklifleri göndermeyi içeren karmaşık bir hedef odaklı kimlik avı saldırısında ele geçirildiğini bildirmesinin ardından geldi.