Η ομάδα hacking που χρηματοδοτείται από το κράτος της Βόρειας Κορέας που παρακολουθείται ως «Andariel» έχει συνδεθεί με τη λειτουργία ransomware Play, χρησιμοποιώντας το RaaS για να εργαστεί στα παρασκήνια και να αποφύγει τις κυρώσεις.
Μια αναφορά από την Palo Alto Networks και τους ερευνητές της Unit 42 ισχυρίζεται ότι ο Andariel μπορεί να είναι είτε θυγατρικός της Play είτε να ενεργεί ως αρχικός μεσίτης πρόσβασης (IAB), διευκολύνοντας την ανάπτυξη του κακόβουλου λογισμικού σε ένα δίκτυο που είχαν παραβιάσει αρκετούς μήνες νωρίτερα.
Το Andariel είναι μια κρατική ομάδα APT που πιστεύεται ότι σχετίζεται με το Γενικό Γραφείο Αναγνώρισης της Βόρειας Κορέας, μια στρατιωτική υπηρεσία πληροφοριών. Το 2019, οι ΗΠΑ επέβαλαν κυρώσεις στους Βορειοκορεάτες Lazarus, Bluenoroff και Andariel για τις επιθέσεις τους στα αμερικανικά συμφέροντα.
Οι παράγοντες της απειλής είναι γνωστό ότι διεξάγουν επιθέσεις για κατασκοπεία στον κυβερνοχώρο και χρηματοδοτούν τις επιχειρήσεις της Βόρειας Κορέας και έχουν συνδεθεί με επιχειρήσεις ransomware στο παρελθόν.
Το 2022, η Kaspersky έδειξε στοιχεία ότι ο Andariel ανέπτυξε ransomware Maui σε επιθέσεις εναντίον στόχων στην Ιαπωνία, τη Ρωσία, το Βιετνάμ και την Ινδία.
Η κυβέρνηση των ΗΠΑ το επιβεβαίωσε αργότερα προσφέροντας 10.000.000 $ για οποιαδήποτε πληροφορία σχετικά με τον Rim Jong Hyok, τον οποίο αναγνώρισε ως μέλος του Andariel και υπεύθυνο για επιθέσεις ransomware στο Maui που στοχεύουν κρίσιμες υποδομές και οργανισμούς υγειονομικής περίθαλψης σε όλες τις Ηνωμένες Πολιτείες.
Η σύνδεση Andariel και Play
Κατά τη διάρκεια μιας απόκρισης περιστατικού ransomware στο Play τον Σεπτέμβριο του 2024, η Μονάδα 42 ανακάλυψε ότι η Andariel είχε παραβιάσει το δίκτυο του πελάτη της που είχε παραβιαστεί στα τέλη Μαΐου 2024.
Οι φορείς απειλών πέτυχαν την αρχική πρόσβαση μέσω ενός παραβιασμένου λογαριασμού χρήστη και, στη συνέχεια, εξήγαγαν απορρίμματα μητρώου και ανέπτυξαν το Mimikatz για συλλογή διαπιστευτηρίων.
Στη συνέχεια, ανέπτυξαν τη σουίτα ανοιχτού κώδικα, η οποία δοκιμάζει το Sliver για την αποστολή σημείων σήμανσης εντολών και ελέγχου (C2) και την υπογραφή τους, προσαρμοσμένο κακόβουλο λογισμικό κλοπής πληροφοριών, DTrack, σε όλους τους προσβάσιμους κεντρικούς υπολογιστές μέσω SMB.
Για τους επόμενους μήνες, οι φορείς απειλών ενίσχυσαν την παρουσία τους στο δίκτυο, δημιουργώντας κακόβουλες υπηρεσίες, δημιουργώντας περιόδους λειτουργίας Πρωτοκόλλου Απομακρυσμένης Επιφάνειας εργασίας (RDP) και απεγκατάσταση εργαλείων ανίχνευσης και απόκρισης τελικού σημείου (EDR).
Ωστόσο, μόλις τρεις μήνες αργότερα, στις 5 Σεπτεμβρίου, ο κρυπτογράφησης ransomware PLAY εκτελέστηκε στο δίκτυο για την κρυπτογράφηση συσκευών.
.jpg)
Πηγή: Ενότητα 42
Ενότητα 42 καταλήγει με μέτρια σιγουριά ότι η παρουσία του Andariel και η ανάπτυξη του Play στο ίδιο δίκτυο συνδέθηκαν.
Αυτό βασίζεται στις ακόλουθες ενδείξεις:
- Ο ίδιος λογαριασμός χρησιμοποιήθηκε για αρχική πρόσβαση, εργαλεία διασποράς, πλευρική κίνηση, κλιμάκωση προνομίων και απεγκατάσταση EDR, που οδήγησε στην ανάπτυξη ransomware του Play.
- Η επικοινωνία Sliver C2 συνεχίστηκε μέχρι λίγο πριν από την ανάπτυξη του ransomware, μετά την οποία η C2 IP τέθηκε εκτός σύνδεσης.
- Εργαλεία ransomware Play, συμπεριλαμβανομένων των TokenPlayer και PsExec, βρέθηκαν στο C:\Users\Public\Music, που ταιριάζουν με κοινές τακτικές που παρατηρήθηκαν σε προηγούμενες επιθέσεις.
Ωστόσο, οι ερευνητές δεν είναι σίγουροι εάν ο Andariel ενήργησε ως συνεργάτης του Play σε αυτήν την περίπτωση ή πούλησε στους επιτιθέμενους πρόσβαση στο παραβιασμένο δίκτυο.
Αποφυγή κυρώσεων
Ενώ οι λειτουργίες Ransomware-as-a-Service προωθούν συνήθως ένα μερίδιο εσόδων, όπου οι θυγατρικές (ή οι “διαφημίσεις”) κερδίζουν το 70-80% μιας πληρωμής λύτρων και οι προγραμματιστές ransomware κερδίζουν το υπόλοιπο, είναι συνήθως λίγο πιο περίπλοκο από αυτό.
Σε πολλές περιπτώσεις, οι θυγατρικές συνεργάζονται με «pentesters» που είναι υπεύθυνοι για την παραβίαση ενός εταιρικού δικτύου, τη δημιουργία παρουσίας και, στη συνέχεια, την παραχώρηση πρόσβασης σε μια θυγατρική που αναπτύσσει τον κρυπτογράφηση.
Σε προηγούμενες συνομιλίες με παράγοντες απειλών ransomware, η BleepingComputer ενημερώθηκε ότι μερικές φορές οι εισβολείς κλέβουν δεδομένα, ενώ σε άλλες επιθέσεις, είναι η θυγατρική.
Μετά την πληρωμή λύτρων, οι χειριστές ransomware, ο pentester και η θυγατρική μοιράζονται τα χρήματα μεταξύ τους.
Ανεξάρτητα από το αν ο Andariel είναι συνεργάτης ή μεσίτης αρχικής πρόσβασης (pentester), η συνεργασία με συμμορίες ransomware στα παρασκήνια επιτρέπει στους Βορειοκορεάτες φορείς απειλών να αποφύγουν τις διεθνείς κυρώσεις.
Στο παρελθόν, είδαμε παρόμοιες τακτικές που χρησιμοποίησε η ρωσική ομάδα χάκερ Evil Corp, η οποία επιβλήθηκε από την κυβέρνηση των ΗΠΑ το 2019.
Μετά την επιβολή κυρώσεων, ορισμένες εταιρείες διαπραγμάτευσης ransomware αρνήθηκαν να διευκολύνουν τις πληρωμές λύτρων για επιθέσεις ransomware της Evil Corp για να αποφύγουν να αντιμετωπίσουν πρόστιμα ή νομικές ενέργειες από το Υπουργείο Οικονομικών.
Ωστόσο, αυτό οδήγησε τους παράγοντες της απειλής να κάνουν συχνά rebrand με διαφορετικά ονόματα, όπως WastedLocker, Hades, Phoenix CryptoLocker, PayLoadBin και Macaw, για να αποφύγουν τις κυρώσεις.
Πιο πρόσφατα, ιρανοί παράγοντες απειλών, στους οποίους επίσης έχουν επιβληθεί κυρώσεις, ανακαλύφθηκαν παρομοίως να ενεργούν ως μεσίτες αρχικής πρόσβασης για να τροφοδοτήσουν επιθέσεις ransomware.
VIA: bleepingcomputer.com
