Охота за долларами: как КНДР обходит санкции с помощью кибератак
Правительственные хакеры Andariel игнорируют международное право, продолжая свои атаки на компании США.
Специалисты Symantec выявили, что северокорейская группировка Andariel (известная также как Stonefly, APT45, Silent Chollima, Onyx Sleet) продолжает атаковать организации в США ради финансовой выгоды, несмотря на предъявленные обвинения и объявленное вознаграждение.
В августе Symantec зафиксировала вторжения в три американских компании спустя месяц после публикации обвинения. Хотя хакеры не смогли внедрить программы-вымогатели в сети жертв, их действия носят финансовый характер. Все атакованные компании – частные, занимающиеся коммерческой деятельностью, не имеющей очевидного разведывательного значения.
В ходе атак Stonefly использовала собственное вредоносное ПО Backdoor.Preft (Dtrack, Valefor), позволяющее загружать файлы, выполнять команды и устанавливать плагины. Были обнаружены также индикаторы компрометации, недавно задокументированные Microsoft, в том числе поддельный сертификат Tableau.
Для обеспечения доступа к зараженным системам Stonefly использовала и другие инструменты. Например, бэкдор Nukebot, который, помимо функционала Backdoor.Preft, также может делать скриншоты. Хотя ранее Nukebot не связывали с Andariel, утечка исходного кода вредоноса позволила группе им воспользоваться. Также злоумышленники запускали скрипты для сохранения паролей в незашифрованном виде и применяли Mimikatz, настраивая инструмент для сбора учетных данных.
В ходе атак было выявлено два различных кейлоггера:
- Первый похищал данные из буфера обмена, фиксировал запуск программ и ввод клавиш, также архивирует и шифрует собранные данные;
- Второй также имел возможность красть данные из буфера обмена. Информация сохраняется в случайно названный DAT-файл в временном каталоге.
Кроме того, применялись инструменты для создания туннелей (Chisel), SSH-клиенты (PuTTY, Plink), инструменты для работы с облачными хранилищами (Megatools) и средства визуализации данных (Snap2HTML).
25 июля Минюст США предъявил обвинения северокорейцу Рим Чон Хёку, предполагаемому члену группировки Stonefly, которая связывается с разведкой КНДР (RGB). Чон Хёк обвинили в вымогательстве американских больниц и других медицинских учреждений в период с 2021 по 2023 год, отмывании выкупа и финансировании последующих кибератак на организации в оборонной, технологической и правительственной сферах.