Специалисты Symantec выявили,что северокорейская группировка Andariel (известная также как Stonefly, APT45, Silent Chollima, Onyx Sleet) продолжает атаковать организации в США ради финансовой выгоды, несмотря на предъявленные обвинения и объявленное вознаграждение.
В августе Symantec зафиксировала вторжения в три американских компании спустя месяц после публикации обвинения. Хотя хакеры не смогли внедрить программы-вымогатели в сети жертв, их действия носят финансовый характер. Все атакованные компании – частные, занимающиеся коммерческой деятельностью, не имеющей очевидного разведывательного значения.
В ходе атак Stonefly использовала собственное вредоносное ПО Backdoor.Preft (Dtrack, Valefor), позволяющее загружать файлы, выполнять команды и устанавливать плагины. Были обнаружены также индикаторы компрометации, недавно задокументированныеMicrosoft, в том числе поддельный сертификат Tableau.
Для обеспечения доступа к зараженным системам Stonefly использовала и другие инструменты. Например, бэкдор Nukebot, который, помимо функционала Backdoor.Preft, также может делать скриншоты. Хотя ранее Nukebot не связывали с Andariel, утечка исходного кода вредоноса позволила группе им воспользоваться. Также злоумышленники запускали скрипты для сохранения паролей в незашифрованном виде и применяли Mimikatz, настраивая инструмент для сбора учетных данных.
В ходе атак было выявлено два различных кейлоггера:
- Первый похищал данные из буфера обмена, фиксировал запуск программ и ввод клавиш, также архивирует и шифрует собранные данные;
- Второй также имел возможность красть данные из буфера обмена. Информация сохраняется в случайно названный DAT-файл в временном каталоге.
Кроме того, применялись инструменты для создания туннелей (Chisel), SSH-клиенты (PuTTY, Plink), инструменты для работы с облачными хранилищами (Megatools) и средства визуализации данных (Snap2HTML).
25 июля Минюст США предъявил обвинения северокорейцу Рим Чон Хёку, предполагаемому члену группировки Stonefly, которая связывается с разведкой КНДР (RGB). Чон Хёк обвинили в вымогательстве американских больниц и других медицинских учреждений в период с 2021 по 2023 год, отмывании выкупа и финансировании последующих кибератак на организации в оборонной, технологической и правительственной сферах.