سه سازمان مختلف در ایالات متحده در آگوست 2024 توسط یک تهدید کننده تحت حمایت دولت کره شمالی به نام Andariel مورد هدف قرار گرفتند.
هر سه سازمان، شرکتهای خصوصی و فعال در تجارتهایی هستند که ارزش اطلاعاتی آنها مشخص نیست. هکرها در استقرار باج افزار در شبکههای هیچ یک از این سه سازمان موفق نبودند و احتمالاً هدف آنها از این حملات، انگیزه مالی بوده است.
Andariel یک گروه سایبری تهدید کننده است که حداقل از سال 2009 فعال میباشد و به عنوان یک گروه فرعی از گروه بدنام Lazarus (لازاروس) ارزیابی میشود. Andariel با نامهای APT45، DarkSeoul، Nickel Hyatt، Onyx Sleet (Plutonium سابق)، Operation Troy، Silent Chollima و Stonefly نیز دنبال میگردد.
بدافزار سفارشی Stonefly Backdoor.Preft (معروف به Dtrack، Valefor) در چندین حمله، به کار گرفته شده است. این ابزار منحصراً متعلق به گروه Andariel میباشد.
Stonefly اولین بار در جولای 2009 مورد توجه قرار گرفت، زمانی که حملات انکار سرویس توزیع شده (DDoS) توسط این ابزار علیه تعدادی از وب سایتهای مالی کره جنوبی و دولت ایالات متحده انجام شد.
برخی دیگر از ابزارهای کمتر شناخته شده مورد استفاده توسط این تهدید کننده عبارتند از وایپر داده با نام رمز Jokra و ایمپلنت پیشرفتهای به نام Prioxer که امکان تبادل دستورات و دادهها را با یک سرور فرماندهی و کنترل (C2) فراهم میآورد.
آخرین مجموعه حملات Andariel شامل استقرار دو بکدور Dtrack و Nukebot است که دارای قابلیتهایی برای اجرای دستورات، دانلود و آپلود فایل و گرفتن اسکرین شات میباشند.
هنوز روش دقیقی که Andarielتوسط آن دسترسی اولیه را بدست آورده باشد، مشخص نیست اما Andariel عادت دارد از نقصهای امنیتی شناخته شده روز N در اپلیکیشنهای متصل به اینترنت برای نفوذ به شبکههای هدف استفاده کند.
برخی دیگر از برنامههای مورد استفاده در نفوذ عبارتند از Mimikatz، Sliver، Chisel، PuTTY، Plink، Snap2HTML و FastReverseProxy که همگی منبع باز و یا در دسترس عموم هستند.
همچنین مشاهده شده است که هکرهای Andariel از یک گواهی نامعتبر جعل هویت نرم افزار Tableau برای امضای برخی از ابزارها استفاده میکنند، تاکتیکی که قبلا توسط مایکروسافت فاش شده بود.
این گروه احتمالاً به تلاش برای انجام حملات اخاذی علیه سازمانها در ایالات متحده ادامه خواهد داد.
