Détection des attaques Andariel : FBA, CISA et partenaires alertent sur une campagne croissante de cyber-espionnage mondial liée au groupe soutenu par l’État nord-coréen
Table des matières :
Le FBI, la CISA et les principales autorités en cybersécurité ont émis un avertissement concernant les opérations croissantes de cyber-espionnage nord-coréennes liées au groupe de pirates soutenu par l’État, suivi sous le nom de Andariel. L’activité de cyber-espionnage du groupe implique la collecte de données critiques et de propriétés intellectuelles, faisant ainsi progresser les objectifs et aspirations militaires et nucléaires du régime.
Détection des attaques d’Andariel décrite dans le bulletin AA24-207A de la CISA
Depuis que les tensions géopolitiques se sont intensifiées dans le monde entier, les collectifs de hacking parrainés par l’État ont augmenté ces dernières années. Cette tendance pose une menace croissante pour les défenseurs cybernétiques en raison de l’ampleur et de la sophistication croissantes des ensembles d’outils des attaquants. Les groupes APT nord-coréens restent parmi les collectifs les plus actifs au 1er trimestre 2024, partageant la première place avec des acteurs chinois, iraniens et russes.
La dernière activité de cyber-espionnage couverte dans le bulletin AA24-207A de la CISA exhorte les praticiens en cybersécurité à renforcer leur défense contre Andariel (alias Onyx Sleet) qui s’attaque actuellement à des informations sensibles liées aux actifs de défense, nucléaires et d’ingénierie dans le monde entier. La plateforme SOC Prime pour la défense cybernétique collective offre une collection de règles Sigma dédiées pour identifier les activités malveillantes associées, couplées à des solutions avancées de détection et de chasse aux menaces pour faciliter l’investigation des menaces.
Appuyez simplement sur le bouton Explore Detections ci-dessous et accédez immédiatement à un ensemble de détection adapté pour repérer la dernière campagne de cyber-espionnage par Andariel APT. Toutes les règles sont compatibles avec plus de 30 solutions SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK®. De plus, les règles sont enrichies de métadonnées étendues, y compris les références de renseignement sur les menaces , les chronologies des attaques et les recommandations.
Les défenseurs cybernétiques cherchant plus de règles pour traiter les TTPs d’Andariel peuvent rechercher dans le Threat Detection Marketplace en utilisant un tag personnalisé « Andariel » ou simplement suivre ce lien pour accéder à une plus large collection de règles associées à l’activité malveillante du groupe.
Analyse de l’attaque mondiale de cyber-espionnage nord-coréenne couverte dans l’alerte AA24-207A
Le 25 juillet 2024, le FBI, la CISA et leurs partenaires auteurs ont publié un nouvel avis conjoint de cybersécurité AA24-207A informant les défenseurs des risques croissants liés à l’activité croissante de cyber-espionnage du néfaste groupe parrainé par l’État nord-coréen. Andariel alias Onyx Sleet (PLUTONIUM, DarkSeoul, et Stonefly/Clasiopa) cible principalement les entités de défense, aérospatiales, nucléaires et d’ingénierie dans le monde entier pour collecter des informations sensibles et techniques, faisant avancer les programmes et objectifs militaires et nucléaires du régime. Le groupe, qui est actif dans l’arène des menaces cybernétiques depuis au moins 2009, est supposé avoir évolué de la conduite d’attaques destructrices contre des organisations américaines et sud-coréennes vers des opérations de cyber-espionnage et de rançongiciels ciblées. Les défenseurs considèrent l’activité continue de cyber-espionnage du groupe comme une menace persistante pour divers secteurs industriels mondiaux. De plus, les attaquants liés au 3ème Bureau du RGB de la République Populaire Démocratique de Corée (RPDC) financent leurs opérations offensives via des attaques de rançongiciels sur des organisations de santé américaines.
Les acteurs d’Andariel obtiennent un accès initial en exploitant des failles connues, y compris la vulnérabilité Log4Shell, pour déployer un web shell et accéder à des informations et applications sensibles. Ils utilisent des techniques standard de découverte et d’énumération des systèmes, établissent une persistance via des tâches planifiées, et élèvent les privilèges avec des outils comme Mimikatz. Les adversaires déploient des implants malveillants personnalisés, des rats, et des outils open-source pour l’exécution, le mouvement latéral et l’exfiltration de données. Les outils et logiciels malveillants personnalisés utilisés par Andariel possèdent des capacités sophistiquées, telles que l’exécution de commandes arbitraires, la journalisation des touches, la prise de captures d’écran, la liste des fichiers et répertoires, le vol de l’historique du navigateur, et le téléchargement de contenu vers des nœuds C2, ce qui permet aux adversaires de maintenir l’accès au système compromis, avec chaque implant assigné à un nœud C2 spécifique.
Les adversaires sont également habiles à utiliser des outils et processus natifs sur les systèmes, une tactique connue sous le nom de LOTL. Ils exploitent la ligne de commande Windows, PowerShell, WMIC et le bash Linux pour l’énumération des systèmes, des réseaux et des comptes. De plus, Andariel mène des campagnes de phishing utilisant des pièces jointes malveillantes, telles que des fichiers LNK ou des scripts HTA qui se trouvent souvent dans des archives zip.
Ils s’appuient également sur des outils de tunneling tels que 3Proxy, PLINK et Stunnel, ainsi que sur des utilitaires de tunneling proxy personnalisés, pour router le trafic sur divers protocoles depuis un réseau vers un serveur C2. Ce tunneling permet aux pirates de mener des opérations C2 malgré des configurations réseau qui seraient normalement restrictives.
Concernant l’exfiltration de données, Andariel s’appuie couramment sur le stockage cloud ou des serveurs distincts de leur principal C2. Ils ont été observés se connectant directement à leurs comptes de stockage en nuage depuis les réseaux des victimes et utilisant des outils comme PuTTY et WinSCP pour transférer des données vers des serveurs contrôlés par la Corée du Nord via FTP et d’autres protocoles. De plus, ils prépositionnent des fichiers pour l’exfiltration sur les machines compromises.
Il est fortement recommandé aux organisations d’infrastructure critique de rester vigilantes face aux attaques de cyber-espionnage parrainées par l’État nord-coréen. Pour atténuer les risques de l’activité malveillante croissante d’Andariel, les défenseurs encouragent les organisations mondiales à appliquer sans délai des correctifs pour les vulnérabilités connues, à sécuriser les serveurs web contre les web shells, à surveiller les points d’extrémité pour des activités malveillantes, et à renforcer les protections d’authentification et d’accès à distance.
Les attaques persistantes de cyber-espionnage attribuées à Andariel, le notoire groupe parrainé par l’État nord-coréen, mettent de plus en plus en danger les organisations d’infrastructure critique dans le monde entier. Pour aider les équipes de sécurité à identifier en temps opportun les intrusions potentielles et minimiser le risque de violations de données, comptez sur l’ensemble complet de produits de SOC Prime pour l’ingénierie de détection pilotée par l’IA, la chasse aux menaces automatisée et la validation des piles de détection, qui équipe les organisations d’une solution tout-en-un pour la défense cybernétique collective.
