Detección de Ataques Andariel: FBA, CISA y Socios Alertan sobre una Creciente Campaña de Ciberespionaje Global Vinculada al Grupo Patrocinado por el Estado de Corea del Norte
Tabla de contenidos:
El FBI, CISA y las principales autoridades de ciberseguridad han emitido una advertencia sobre el creciente ciberespionaje de Corea del Norte vinculado al grupo de hackers apoyado por el estado, rastreado como Andariel. La actividad de ciberespionaje del grupo involucra la recopilación de datos críticos y propiedad intelectual, avanzando así los objetivos y aspiraciones militares y nucleares del régimen.
Detección de Ataques de Andariel Descritos en el Aviso CISA AA24-207A
Dado que las tensiones geopolíticas han ido intensificándose globalmente, los colectivos de hacking patrocinados por el estado han aumentado en los últimos años. Esta tendencia representa una amenaza creciente para los defensores cibernéticos debido al aumento del alcance y sofisticación de las herramientas de los atacantes. Los grupos APT norcoreanos continúan siendo unos de los colectivos más activos en el primer trimestre de 2024, compartiendo el primer lugar con actores chinos, iraníes y rusos.
La última actividad de ciberespionaje cubierta en el Aviso CISA AA24-207A insta a los profesionales de ciberseguridad a mejorar su defensa contra Andariel (también conocido como Onyx Sleet) que actualmente busca información sensible relacionada con activos de defensa, nucleares e ingeniería en todo el mundo. Plataforma de SOC Prime para la defensa cibernética colectiva ofrece una colección de reglas Sigma dedicadas para identificar actividad maliciosa relacionada junto con soluciones avanzadas de detección y búsqueda de amenazas para facilitar la investigación de amenazas.
Simplemente presiona el botón Explorar Detecciones a continuación y profundiza inmediatamente en un conjunto de detección personalizado para identificar la última campaña de ciberespionaje por parte de Andariel APT. Todas las reglas son compatibles con más de 30 soluciones SIEM, EDR y Data Lake y se correlacionan con el marco MITRE ATT&CK®. Además, las reglas están enriquecidas con metadatos extensos, incluyendo referencias de inteligencia de amenazas , cronologías de ataques y recomendaciones.
Los defensores cibernéticos que busquen más reglas para abordar los TTPs de Andariel pueden buscar en el Mercado de Detección de Amenazas utilizando una etiqueta personalizada “Andariel” o simplemente siguiendo este enlace para acceder a una colección más amplia de reglas asociadas con la actividad maliciosa del grupo.
Análisis del Ataque Global de Ciberespionaje de Corea del Norte Cubierto en la Alerta AA24-207A
El 25 de julio de 2024, el FBI, CISA y los socios autores emitieron un nuevo aviso conjunto de ciberseguridad AA24-207A notificando a los defensores sobre los crecientes riesgos relacionados con la creciente actividad de ciberespionaje del nefando grupo patrocinado por el estado norcoreano. Andariel también conocido como Onyx Sleet (PLUTONIUM, DarkSeoul y Stonefly/Clasiopa), principalmente enfoca su atención en entidades de defensa, aeroespaciales, nucleares e ingenieriles en todo el mundo para recopilar información sensible y técnica, promoviendo los programas y objetivos militares y nucleares del régimen. Se cree que el grupo, que ha estado activo en el campo de las ciberamenazas desde al menos 2009, ha evolucionado de realizar ataques destructivos contra organizaciones de EE.UU. y Corea del Sur a participar en ciberespionaje dirigido y operaciones de ransomware. Los defensores consideran que la actividad continua de ciberespionaje del grupo es una amenaza persistente para diversos sectores industriales globales. Además, los atacantes vinculados a la RGB 3ª Oficina de la República Popular Democrática de Corea (RPDC) financian sus operaciones ofensivas mediante ataques de ransomware a organizaciones de salud de EE.UU.
Los actores de Andariel obtienen acceso inicial explotando fallos conocidos, incluyendo la vulnerabilidad Log4Shell, para desplegar un web shell y acceder a información sensible y aplicaciones. Utilizan técnicas estándar de descubrimiento y enumeración del sistema, establecen persistencia mediante tareas programadas y elevan privilegios con herramientas como Mimikatz. Los adversarios despliegan implantes de malware personalizados, RATs, y herramientas de código abierto para ejecución, movimiento lateral y exfiltración de datos. Las herramientas y malware personalizados utilizados por Andariel poseen capacidades sofisticadas, como la ejecución de comandos arbitrarios, keylogging, captura de pantallas, listado de archivos y directorios, robo de historial de navegador, y carga de contenido a nodos C2, lo que permite a los adversarios mantener acceso al sistema comprometido, con cada implante asignado a un nodo C2 específico.
Los adversarios también son expertos en emplear herramientas y procesos nativos en los sistemas, una táctica conocida como LOTL. Utilizan la línea de comandos de Windows, PowerShell, WMIC y el bash de Linux para la enumeración del sistema, red y cuentas. Además, Andariel realiza campañas de phishing utilizando archivos adjuntos maliciosos, como archivos LNK o archivos de script HTA que a menudo van dentro de archivos zip.
También dependen de herramientas de túnel como 3Proxy, PLINK y Stunnel, junto con utilidades de túnel proxy personalizadas, para enrutar tráfico a través de varios protocolos desde dentro de una red a un servidor C2. Este túnel permite a los hackers realizar operaciones C2 a pesar de configuraciones de red que normalmente serían restrictivas.
En cuanto a la exfiltración de datos, Andariel confía comúnmente en almacenamiento en la nube o servidores separados de su C2 principal. Se les ha observado iniciando sesión en sus cuentas de almacenamiento en la nube directamente desde redes de víctimas y utilizando herramientas como PuTTY y WinSCP para transferir datos a servidores controlados por Corea del Norte mediante FTP y otros protocolos. Además, preparan archivos para su exfiltración en las máquinas comprometidas.
Se recomienda encarecidamente a las organizaciones de infraestructura crítica que se mantengan vigilantes ante los ataques de ciberespionaje patrocinados por el estado norcoreano. Para mitigar los riesgos de la creciente actividad maliciosa de Andariel, los defensores animan a las organizaciones globales a aplicar rápidamente parches para vulnerabilidades conocidas, asegurar servidores web contra web shells, monitorear endpoints para actividades maliciosas y mejorar la autenticación y protecciones de acceso remoto.
Los ataques persistentes de ciberespionaje atribuidos a Andariel, el notorio grupo patrocinado por el estado norcoreano, están poniendo cada vez más en peligro a las organizaciones de infraestructura crítica a nivel mundial. Para ayudar a los equipos de seguridad a identificar oportunamente posibles intrusiones y minimizar el riesgo de violaciones de datos, confíen en la suite completa de productos de SOC Prime para la ingeniería de detección impulsada por IA, caza de amenazas automatizada y validación del conjunto de detección, que equipa a las organizaciones con una solución todo en uno para la defensa cibernética colectiva.
