‘Andariel’ olarak takip edilen Kuzey Kore devlet destekli bilgisayar korsanlığı grubu, perde arkasında çalışmak ve yaptırımlardan kaçmak için RaaS’ı kullanan Play fidye yazılımı operasyonuyla ilişkilendirildi.
Palo Alto Networks ve Unit 42 araştırmacıları tarafından hazırlanan bir rapor, Andariel’in ya Play’in bir bağlı kuruluşu olabileceğini ya da birkaç ay önce ihlal ettikleri bir ağ üzerinde kötü amaçlı yazılımın dağıtımını kolaylaştıran bir ilk erişim komisyoncusu (IAB) olarak hareket edebileceğini iddia ediyor.
Andariel, Kuzey Kore’nin askeri istihbarat teşkilatı olan Keşif Genel Bürosu ile ilişkili olduğuna inanılan, devlet destekli bir APT grubudur. ABD, 2019’da Kuzey Koreli Lazarus, Bluenoroff ve Andariel tehdit aktörlerine ABD çıkarlarına yönelik saldırılarından dolayı yaptırım uyguladı.
Tehdit aktörlerinin siber casusluk amaçlı saldırılar düzenlediği ve Kuzey Kore’nin operasyonlarını finanse ettiği biliniyor ve daha önce de fidye yazılımı operasyonlarıyla ilişkilendirilmişlerdi.
Kaspersky, 2022’de Andariel’in Japonya, Rusya, Vietnam ve Hindistan’daki hedeflere yönelik saldırılarda Maui fidye yazılımını kullandığına dair kanıt gösterdi.
ABD hükümeti daha sonra Andariel’in bir üyesi olarak tanımladığı ve Amerika Birleşik Devletleri’ndeki kritik altyapı ve sağlık kuruluşlarını hedef alan Maui fidye yazılımı saldırılarından sorumlu olduğu Rim Jong Hyok hakkında her türlü bilgi için 10.000.000 dolar teklif ederek bunu doğruladı.
Andariel ve Play bağlantısı
Eylül 2024’te Play fidye yazılımı olayına müdahale sırasında Birim 42, Andariel’in Mayıs 2024’ün sonlarında müşterisinin ihlal edilen ağını tehlikeye attığını keşfetti.
Tehdit aktörleri, güvenliği ihlal edilmiş bir kullanıcı hesabı aracılığıyla ilk erişimi sağladı, ardından kayıt defteri dökümlerini çıkardı ve kimlik bilgileri toplamak için Mimikatz’ı kullandı.
Daha sonra, SMB üzerinden erişilebilir tüm ana bilgisayarlara, komuta ve kontrol (C2) işaretçisi için açık kaynaklı sızma testi paketi Sliver’ı ve imza niteliğindeki özel bilgi hırsızlığı yapan kötü amaçlı yazılım DTrack’i dağıttılar.
Sonraki birkaç ay boyunca tehdit aktörleri, kötü amaçlı hizmetler oluşturarak, Uzak Masaüstü Protokolü (RDP) oturumları oluşturarak ve uç nokta algılama ve yanıt (EDR) araçlarını kaldırarak ağdaki varlıklarını sağlamlaştırdı.
Ancak üç ay sonra, 5 Eylül’de, cihazları şifrelemek için PLAY fidye yazılımı şifreleyicisi ağ üzerinde çalıştırıldı.
.jpg)
Kaynak: Ünite 42
Birim 42, Andariel’in varlığı ile Play’in aynı ağ üzerinde konuşlandırılmasının bağlantılı olduğu konusunda orta düzeyde bir güvenle sonuca varıyor.
Bu, aşağıdaki ipuçlarına dayanmaktadır:
- İlk erişim, yayma araçları, yanal hareket, ayrıcalık yükseltme ve EDR’nin kaldırılması için aynı hesap kullanıldı ve bu da Play fidye yazılımı dağıtımına yol açtı.
- Sliver C2 iletişimi, fidye yazılımı dağıtımının hemen öncesine kadar devam etti, ardından C2 IP’si çevrimdışı oldu.
- TokenPlayer ve PsExec gibi Play fidye yazılımı araçları C:\Users\Public\Music dizininde bulundu ve geçmiş saldırılarda gözlemlenen yaygın taktiklerle eşleşti.
Ancak araştırmacılar, Andariel’in bu durumda Play üyesi olarak mı hareket ettiğinden yoksa saldırganlara ele geçirilen ağa erişim mi sattığından emin değiller.
Yaptırımlardan kaçınmak
Hizmet Olarak Fidye Yazılımı operasyonları genellikle gelir paylaşımını teşvik ederken, bağlı kuruluşların (veya “reklamların”) fidye ödemesinin %70-80’ini kazandığı ve fidye yazılımı geliştiricilerinin geri kalanını kazandığı durumlarda, durum genellikle bundan biraz daha karmaşıktır.
Çoğu durumda bağlı kuruluşlar, kurumsal ağı ihlal etmek, varlık oluşturmak ve ardından erişimi şifreleyiciyi dağıtan bağlı kuruluşa devretmekle görevli “pentesterler” ile çalışır.
Fidye yazılımı tehdit aktörleriyle daha önce yapılan görüşmelerde BleepingComputer’a, bazen pentester’ların verileri çaldığı, diğer saldırılarda ise bağlı kuruluş olduğu söylendi.
Fidye ödemesi yapıldıktan sonra fidye yazılımı operatörleri, pentester ve bağlı kuruluş parayı kendi aralarında paylaştırıyor.
Andariel’in bağlı kuruluş veya ilk erişim komisyoncusu (pentester) olup olmadığına bakılmaksızın, perde arkasında fidye yazılımı çeteleriyle çalışmak, Kuzey Koreli tehdit aktörlerinin uluslararası yaptırımlardan kaçmasına olanak tanıyor.
Geçmişte, 2019 yılında ABD hükümeti tarafından yaptırım uygulanan Rus hack grubu Evil Corp’un da benzer taktikler kullandığını görmüştük.
Bazı fidye yazılımı müzakere firmaları, yaptırıma maruz kaldıktan sonra, Hazine Bakanlığı tarafından para cezası veya yasal işlemle karşı karşıya kalmamak için Evil Corp fidye yazılımı saldırıları için fidye ödemelerini kolaylaştırmayı reddetti.
Ancak bu durum, tehdit aktörlerinin yaptırımlardan kaçınmak için sık sık WastedLocker, Hades, Phoenix CryptoLocker, PayLoadBin ve Macaw gibi farklı isimler altında yeniden markalaşmalarına yol açtı.
Daha yakın zamanlarda, yaptırım uygulanan İranlı tehdit aktörlerinin de benzer şekilde fidye yazılımı saldırılarını körüklemek için ilk erişim aracıları olarak hareket ettikleri keşfedildi.