Τρεις οργανισμοί στις ΗΠΑ υπήρξαν στόχος των Βορειοκορεατών hackers Andariel (τον Αύγουστο του 2024), στα πλαίσια επιθέσεων που φαίνεται να έχουν οικονομικά κίνητρα.
“Ενώ οι εισβολείς δεν κατάφεραν να αναπτύξουν ransomware στα δίκτυα των οργανισμών-στόχων, είναι πιθανό ότι οι επιθέσεις είχαν οικονομικά κίνητρα“, δήλωσε η Symantec.
Πιστεύεται ότι οι Βορειοκορεάτες hackers Andariel είναι υπο-ομάδα του γνωστού Lazarus Group. Η ομάδα είναι, επίσης, γνωστή ως APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (πρώην Plutonium), Operation Troy, Silent Chollima και Stonefly. Είναι ενεργή τουλάχιστον από το 2009.
Η Andariel έχει αναπτύξει κατά καιρούς διάφορα ransomware, όπως το SHATTEREDGLASS και το Maui, ενώ χρησιμοποιεί και custom backdoors, όπως τα Dtrack (γνωστό και ως Valefor και Preft), TigerRAT, Black RAT (γνωστό και ως ValidAlpha), Dora RAT και LightHand.
Δείτε επίσης: Οι Βορειοκορεάτες hackers Kimsuky χρησιμοποιούν τα νέα malware KLogEXE και FPSpy
Ένα λιγότερο γνωστό εργαλείο είναι το data wiper με την κωδική ονομασία Jokra. Επίσης, έχει εντοπιστεί ένα implant που ονομάζεται Prioxer και επιτρέπει την ανταλλαγή εντολών και δεδομένων με έναν διακομιστή εντολών και ελέγχου (C2).
Τον Ιούλιο του 2024, ένα στρατιωτικό τμήμα πληροφοριών της ομάδας Andariel κατηγορήθηκε από το Υπουργείο Δικαιοσύνης των ΗΠΑ για φερόμενη διεξαγωγή επιθέσεων ransomware κατά των οργανισμών υγειονομικής περίθαλψης και χρήση παράνομων κεφαλαίων για τη διεξαγωγή πρόσθετων εισβολών.
Στις πιο πρόσφατες επιθέσεις, οι Βορειοκορεάτες hackers Andariel χρησιμοποίησαν το Dtrack και το Nukebot backdoor, το οποίο διαθέτει δυνατότητες εκτέλεσης εντολών, λήψης και αποστολής αρχείων και λήψης στιγμιότυπων οθόνης.
Η μέθοδος αρχικής πρόσβασης δεν είναι σαφής, αν και οι hackers Andariel συνηθίζουν να εκμεταλλεύονται γνωστές ευπάθειες N-day.
Δείτε επίσης: Οι Βορειοκορεάτες hackers UNC2970 μολύνουν εταιρείες ενέργειας με το MISTPEN malware
Άλλα προγράμματα που χρησιμοποιούνται στις επιθέσεις είναι τα Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML και FastReverseProxy (FRP), τα οποία είναι είτε ανοιχτού κώδικα είτε δημόσια διαθέσιμα.
Ενώ στο παρελθόν οι Βορειοκορεάτες hackers Andariel ασχολούνταν με την κυβερνοκατασκοπεία, η Symantec πιστεύει τώρα ότι οι νέες επιθέσεις έχουν οικονομικά κίνητρα.
Βορειοκορεάτες hackers: Μια μεγάλη απειλή
Οι Βορειοκορεάτες hackers αποτελούν απειλή για την παγκόσμια ασφάλεια μέσω μιας σειράς επιθέσεων στον κυβερνοχώρο που στοχεύουν σε κρίσιμα συστήματα και δίκτυα. Αυτές οι επιθέσεις μπορούν να προκαλέσουν σημαντικές διαταραχές και να υπονομεύσουν την εμπιστοσύνη στα ψηφιακά συστήματα.
Δείτε επίσης: Βορειοκορεάτες hackers διανέμουν το COVERTCATCH malware
Επιπλέον, οι Βορειοκορεάτες hackers έχουν δείξει την ικανότητά τους να διεισδύουν σε οικονομικά συστήματα, όπως τράπεζες και κρυπτονομίσματα, προκαλώντας οικονομική αστάθεια.
Τέλος, μπορούν να χρησιμοποιήσουν τις δεξιότητές τους για να κλέψουν ευαίσθητες πληροφορίες, όπως στρατιωτικά μυστικά ή πνευματικά δικαιώματα, προκαλώντας έτσι ζητήματα ασφάλειας και πολιτικές εντάσεις.
Πηγή: thehackernews.com
