- 13,098
- 20
- 8 Ноя 2022
Правительственные хакеры Andariel игнорируют международное право, продолжая свои атаки на компании США.
Специалисты Symantec Для просмотра ссылки Войдиили Зарегистрируйся что северокорейская группировка Andariel (известная также как Stonefly, APT45, Silent Chollima, Onyx Sleet) продолжает атаковать организации в США ради финансовой выгоды, несмотря на предъявленные обвинения и объявленное вознаграждение.
В августе Symantec зафиксировала вторжения в три американских компании спустя месяц после публикации обвинения. Хотя хакеры не смогли внедрить программы-вымогатели в сети жертв, их действия носят финансовый характер. Все атакованные компании – частные, занимающиеся коммерческой деятельностью, не имеющей очевидного разведывательного значения.
В ходе атак Stonefly использовала собственное вредоносное ПО Backdoor.Preft (Dtrack, Valefor), позволяющее загружать файлы, выполнять команды и устанавливать плагины. Были обнаружены также индикаторы компрометации, недавно Для просмотра ссылки Войдиили Зарегистрируйся Microsoft, в том числе поддельный сертификат Tableau.
Для обеспечения доступа к зараженным системам Stonefly использовала и другие инструменты. Например, бэкдор Nukebot, который, помимо функционала Backdoor.Preft, также может делать скриншоты. Хотя ранее Nukebot не связывали с Andariel, Для просмотра ссылки Войдиили Зарегистрируйся позволила группе им воспользоваться. Также злоумышленники запускали скрипты для сохранения паролей в незашифрованном виде и применяли Mimikatz , настраивая инструмент для сбора учетных данных.
В ходе атак было выявлено два различных кейлоггера:
Кроме того, применялись инструменты для создания туннелей (Chisel), SSH-клиенты (PuTTY, Plink), инструменты для работы с облачными хранилищами (Megatools) и средства визуализации данных (Snap2HTML).
25 июля Минюст США Для просмотра ссылки Войдиили Зарегистрируйся северокорейцу Рим Чон Хёку, предполагаемому члену группировки Stonefly, которая связывается с разведкой КНДР (RGB). Чон Хёк обвинили в вымогательстве американских больниц и других медицинских учреждений в период с 2021 по 2023 год, отмывании выкупа и финансировании последующих кибератак на организации в оборонной, технологической и правительственной сферах.
Специалисты Symantec Для просмотра ссылки Войди
В августе Symantec зафиксировала вторжения в три американских компании спустя месяц после публикации обвинения. Хотя хакеры не смогли внедрить программы-вымогатели в сети жертв, их действия носят финансовый характер. Все атакованные компании – частные, занимающиеся коммерческой деятельностью, не имеющей очевидного разведывательного значения.
В ходе атак Stonefly использовала собственное вредоносное ПО Backdoor.Preft (Dtrack, Valefor), позволяющее загружать файлы, выполнять команды и устанавливать плагины. Были обнаружены также индикаторы компрометации, недавно Для просмотра ссылки Войди
Для обеспечения доступа к зараженным системам Stonefly использовала и другие инструменты. Например, бэкдор Nukebot, который, помимо функционала Backdoor.Preft, также может делать скриншоты. Хотя ранее Nukebot не связывали с Andariel, Для просмотра ссылки Войди
В ходе атак было выявлено два различных кейлоггера:
- Первый похищал данные из буфера обмена, фиксировал запуск программ и ввод клавиш, также архивирует и шифрует собранные данные;
- Второй также имел возможность красть данные из буфера обмена. Информация сохраняется в случайно названный DAT-файл в временном каталоге.
Кроме того, применялись инструменты для создания туннелей (Chisel), SSH-клиенты (PuTTY, Plink), инструменты для работы с облачными хранилищами (Megatools) и средства визуализации данных (Snap2HTML).
25 июля Минюст США Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
