Erkennung von Andariel-Angriffen: FBA, CISA und Partner warnen vor einer zunehmenden globalen Cyber-Spionagekampagne, die mit der nordkoreanischen staatlich unterstützten Gruppe in Verbindung steht
Inhaltsverzeichnis:
Das FBI, die CISA und führende Cybersicherheitsbehörden haben eine Warnung vor den zunehmenden nordkoreanischen Cyber-Spionage-Aktivitäten herausgegeben, die mit der staatlich unterstützten Hackergruppe in Verbindung stehen, die als Andarielverfolgt wird. Die Cyber-Spionage-Aktivitäten der Gruppe umfassen die Sammlung kritischer Daten und geistigen Eigentums, wodurch die militärischen und nuklearen Ziele und Bestrebungen des Regimes vorangetrieben werden.
Erkennung von Andariel-Angriffen im CISA AA24-207A Advisory beschrieben
Da die geopolitischen Spannungen weltweit zugenommen haben, sind von Staaten gesponserte Hackergruppen in den letzten Jahren stark angestiegen. Dieser Trend stellt eine wachsende Bedrohung für Cyber-Verteidiger dar, da der Umfang und die Raffinesse der Werkzeuge der Angreifer zunehmen. Nordkoreanische APT-Gruppen gehören im ersten Quartal 2024 zu den aktivsten Kollektiven und teilen sich den Spitzenplatz mit chinesischen, iranischen und russischen Akteuren.
Die jüngste Cyber-Spionage-Aktivität in AA24-207A CISA Advisory fordert Cybersicherheitsexperten auf, ihre Verteidigung gegenüber Andariel (auch bekannt als Onyx Sleet) zu verstärken, die derzeit nach sensiblen Informationen im Zusammenhang mit Verteidigungs-, Nuklear- und Ingenieursressourcen weltweit sucht. SOC Prime Plattform für kollektive Cyber-Verteidigung bietet eine Sammlung spezieller Sigma-Regeln zur Erkennung damit verbundener bösartiger Aktivitäten in Verbindung mit fortschrittlichen Bedrohungserkennungs- und Jagdlösungen, um die Bedrohungsuntersuchung zu erleichtern.
Klicken Sie einfach auf die Erkennungen Erkunden Schaltfläche unten und gehen Sie sofort in ein maßgeschneidertes Erkennungsstapel, um die neueste Cyber-Spionage-Kampagne von Andariel APT aufzuspüren. Alle Regeln sind kompatibel mit über 30 SIEM-, EDR- und Data Lake-Lösungen und an den MITRE ATT&CK®-Rahmenangelehnt. Darüber hinaus sind die Regeln mit umfangreichen Metadaten angereichert, einschließlich Bedrohungsnachrichten Referenzen, Angriffstimeline und Empfehlungen.
Cyber-Verteidiger, die nach weiteren Regeln suchen, um die TTPs von Andariel zu adressieren, könnten im Threat Detection Marketplace nach einem benutzerdefinierten „Andariel“ Tag suchen oder einfach diesen Link folgen, um auf eine umfangreichere Sammlung von Regeln zuzugreifen, die mit der bösartigen Tätigkeit der Gruppe verbunden sind.
Analyse nordkoreanischer globaler Cyber-Spionage-Angriffe im AA24-207A-Alarm behandelt
Am 25. Juli 2024 gaben das FBI, die CISA und die verfassenden Partner eine neue gemeinsame Cybersicherheitsberatung AA24-207A heraus, um Verteidiger auf die zunehmenden Risiken der wachsenden Cyber-Spionage-Aktivitäten der berüchtigten nordkoreanischen staatlich geförderten Gruppe aufmerksam zu machen. Andariel auch bekannt als Onyx Sleet (PLUTONIUM, DarkSeoul und Stonefly/Clasiopa), richtet sich vorwiegend gegen Verteidigungs-, Luft- und Raumfahrt-, Nuklear- und Ingenieurwesen-Unternehmen weltweit, um sensible und technische Informationen zu sammeln, und fördert damit die militärischen und nuklearen Programme und Ziele des Regimes. Die Gruppe, die seit mindestens 2009 in der Cyber-Bedrohungsszene aktiv ist, wird angenommen, sich von der Durchführung destruktiver Angriffe gegen US-amerikanische und südkoreanische Organisationen hin zu gezielten Cyber-Spionage- und Ransomware-Operationen entwickelt zu haben. Verteidiger betrachten die anhaltenden Cyber-Spionage-Aktivitäten der Gruppe als eine ständige Bedrohung für verschiedene globale Industriesektoren. Darüber hinaus finanzieren Angreifer, die mit dem 3. Büro der RGB der Demokratischen Volksrepublik Korea in Verbindung stehen, ihre offensiven Operationen durch Ransomware-Angriffe auf US-amerikanische Gesundheitsorganisationen.
Andariel-Akteure verschaffen sich anfänglichen Zugang, indem sie bekannte Schwachstellen, einschließlich der Log4Shell-Sicherheitslückeausnutzen, um eine Webshell bereitzustellen und auf sensible Informationen und Anwendungen zuzugreifen. Sie verwenden Standardtechniken zur Systemerkennung und -auflistung, stellen mit geplanten Aufgaben Persistenz her und erhöhen mit Tools wie Mimikatzihre Privilegien. Gegner setzen maßgeschneiderte Malware-Implantate, RATs und Open-Source-Tools für Ausführung, laterale Bewegung und Datenexfiltration ein. Die maßgeschneiderten Tools und Malware, die von Andariel genutzt werden, verfügen über fortschrittliche Fähigkeiten wie das Ausführen beliebiger Befehle, Keylogging, Bildschirmaufnahmen, das Auflisten von Dateien und Verzeichnissen, das Stehlen von Browserverläufen und das Hochladen von Inhalten zu C2-Knoten, was es den Angreifern ermöglicht, den Zugang zu dem kompromittierten System zu wahren, wobei jedem Implantat ein bestimmter C2-Knoten zugeordnet ist.
Gegner sind auch darin geschickt, native Tools und Prozesse auf Systemen anzuwenden, eine Taktik, die als LOTL bekannt ist. Sie verwenden die Windows-Befehlszeile, PowerShell, WMIC und Linux bash für System-, Netzwerk- und Kontoauflistung. Zudem führt Andariel Phishing-Kampagnen mit bösartigen Anhängen durch, wie z.B. LNK-Dateien oder HTA-Skript-Dateien, die oft in Zip-Archiven enthalten sind.
Sie verlassen sich auch auf Tunneling-Tools wie 3Proxy, PLINK und Stunnel sowie auf maßgeschneiderte Proxy-Tunneling-Dienstprogramme, um den Datenverkehr über verschiedene Protokolle innerhalb eines Netzwerks zu einem C2-Server zu leiten. Dieses Tunnelling erlaubt es Hackern, C2-Operationen durchzuführen, trotz normalerweise restriktiver Netzwerkkonfigurationen.
Was die Datenexfiltration betrifft, verlässt sich Andariel häufig auf Cloud-Speicher oder Server, die von ihrem primären C2 getrennt sind. Sie wurden beobachtet, wie sie sich direkt von den Netzwerken der Opfer in ihre Cloud-Speicherkonten einloggten und Tools wie PuTTY und WinSCP verwendeten, um Daten über FTP und andere Protokolle auf von Nordkorea kontrollierte Server zu übertragen. Darüber hinaus inszenieren sie Dateien zur Exfiltration auf den kompromittierten Maschinen.
Organisationen kritischer Infrastrukturen wird dringend empfohlen, wachsam gegenüber nordkoreanischen staatlich geförderten Cyber-Spionage-Angriffen zu bleiben. Um die Risiken von Andariels zunehmenden bösartigen Aktivitäten zu mindern, empfehlen Verteidiger globalen Organisationen, umgehend Patches für bekannte Sicherheitslücken anzuwenden, Webserver gegen Webshells zu sichern, Endpunkte auf bösartige Aktivitäten zu überwachen und Authentifizierung und Remote-Zugangsmaßnahmen zu verbessern.
Die anhaltenden Cyber-Spionage-Angriffe, die Andariel, der berüchtigten nordkoreanischen staatlich geförderten Gruppe, zugeschrieben werden, gefährden zunehmend Organisationen der kritischen Infrastruktur weltweit. Um Sicherheitsteams zu helfen, potenzielle Eindringlinge rechtzeitig zu identifizieren und das Risiko von Datenverletzungen zu minimieren, verlassen Sie sich auf SOC Primes umfassende Produktreihe für KI-gestützte Detection Engineering, automatisierte Bedrohungsjagd und Detection Stack Validierung, die Organisationen eine All-in-One-Lösung für kollektive Cyber-Verteidigung bietet.
