Rilevamento degli Attacchi Andariel: FBA, CISA e Partner Avvertono di una Crescente Campagna di Cyber-Spionaggio Globale Collegata a un Gruppo Sostenuto dallo Stato Nordcoreano
Indice:
L’FBI, CISA e le principali autorità di cybersecurity hanno emesso un avvertimento riguardo alle crescenti operazioni di cyber-spionaggio della Corea del Nord collegate al gruppo di hacker sostenuto dallo stato monitorato come Andariel. L’attività di cyber-spionaggio del gruppo comporta la raccolta di dati critici e proprietà intellettuale, promuovendo così gli obiettivi e le aspirazioni militari e nucleari del regime.
Rilevamento degli Attacchi Andariel Descritti nella Consulenza CISA AA24-207A
Poiché le tensioni geopolitiche si sono intensificate a livello globale, i collettivi di hacking sponsorizzati dallo stato sono in aumento negli ultimi anni. Questa tendenza rappresenta una crescente minaccia per i difensori del cyber a causa dell’aumento del raggio d’azione e della sofisticazione degli strumenti degli aggressori. I gruppi APT nordcoreani rimangono tra i collettivi più attivi nel Q1 2024, condividendo il primo posto con attori cinesi, iraniani e russi.
L’ultima attività di cyber-spionaggio trattata nel Consulenza CISA AA24-207A esorta i praticanti della cybersecurity a migliorare la loro difesa contro Andariel (alias Onyx Sleet) che attualmente cerca di ottenere informazioni sensibili relative a difesa, nucleare e risorse ingegneristiche a livello mondiale. Piattaforma SOC Prime per la difesa cyber collettiva offre una raccolta di regole Sigma dedicate per identificare l’attività malevola correlata, abbinate a soluzioni avanzate di rilevamento e caccia alle minacce per agevolare l’investigazione delle minacce.
Basta premere il pulsante Esplora Rilevamenti qui sotto e approfondire immediatamente uno stack di rilevazione su misura per individuare la più recente campagna di cyber-spionaggio da parte di Andariel APT. Tutte le regole sono compatibili con oltre 30 soluzioni SIEM, EDR e Data Lake e mappate al framework MITRE ATT&CK®. Inoltre, le regole sono arricchite con ampi metadati, tra cui riferimenti di threat intel , cronologie degli attacchi e raccomandazioni.
I difensori del cyber che cercano più regole per affrontare i TTP di Andariel possono cercare Threat Detection Marketplace utilizzando un tag personalizzato “Andariel” o semplicemente seguire questo link per accedere a una più ampia raccolta di regole associate all’attività malevola del gruppo.
Analisi degli Attacchi di Cyber-Spionaggio Globali della Corea del Nord Trattati nell’Avviso AA24-207A
Il 25 luglio 2024, l’FBI, CISA e i partner autori hanno emesso una nuova consulenza sulla cybersecurity congiunta AA24-207A notificando ai difensori i crescenti rischi legati all’aumento dell’attività di cyber-spionaggio del nefasto gruppo sostenuto dallo stato nordcoreano. Andariel alias Onyx Sleet (PLUTONIUM, DarkSeoul e Stonefly/Clasiopa) si concentra principalmente su enti di difesa, aerospaziale, nucleari e ingegneristici a livello mondiale per raccogliere informazioni sensibili e tecniche, promuovendo i programmi e gli obiettivi militari e nucleari del regime. Si ritiene che il gruppo, attivo nella scena della minaccia cyber fin dal 2009, si sia evoluto da attacchi distruttivi contro organizzazioni degli Stati Uniti e della Corea del Sud a operazioni di cyber-spionaggio e ransomware mirate. I difensori considerano l’attività continua del cyber-spionaggio del gruppo una minaccia persistente per diversi settori industriali globali. Inoltre, gli attaccanti collegati all’RBB della Repubblica Democratica Popolare di Corea (DPRK) finanziano le loro operazioni offensive attraverso attacchi ransomware alle organizzazioni sanitarie statunitensi.
Gli attori Andariel ottengono l’accesso iniziale sfruttando falle note, inclusa la vulnerabilità Log4Shell, per implementare una web shell e accedere a informazioni e applicazioni sensibili. Usano tecniche standard di scoperta e enumerazione del sistema, stabiliscono persistenza tramite attività programmate e aumentano i privilegi con strumenti come Mimikatz. Gli avversari implementano impianti di malware personalizzati, RAT e strumenti open-source per esecuzione, movimento laterale ed esfiltrazione dei dati. Gli strumenti personalizzati e malware utilizzati da Andariel possiedono capacità sofisticate, come l’esecuzione di comandi arbitrari, keylogging, screenshot, elencazione di file e directory, furto della cronologia del browser e caricamento di contenuti ai nodi C2, il che permette agli avversari di mantenere l’accesso al sistema compromesso, con ciascun impianto assegnato a un nodo C2 specifico.
Gli avversari sono anche abili nell’utilizzare strumenti e processi nativi sui sistemi, una tattica nota come LOTL. Sfruttano la riga di comando di Windows, PowerShell, WMIC e bash di Linux per l’enumerazione di sistema, rete e account. Inoltre, Andariel conduce campagne di phishing usando allegati malevoli, come file LNK o script HTA che spesso vanno in archivi zip.
Fanno anche affidamento su strumenti di tunneling come 3Proxy, PLINK e Stunnel, insieme a utilità di tunneling proxy personalizzate, per reindirizzare il traffico su vari protocolli da all’interno di una rete a un server C2. Questo tunneling consente agli hacker di eseguire operazioni C2 nonostante configurazioni di rete che sarebbero normalmente restrittive.
Per quanto riguarda l’esfiltrazione dei dati, Andariel si affida comunemente a storage cloud o server separati dal loro C2 principale. Sono stati osservati mentre accedono direttamente ai loro account di archiviazione cloud dalle reti delle vittime e utilizzano strumenti come PuTTY e WinSCP per trasferire i dati a server controllati dalla Corea del Nord tramite FTP e altri protocolli. Inoltre, mettono in scena file per l’esfiltrazione sulle macchine compromesse.
Si raccomanda fortemente alle organizzazioni di infrastrutture critiche di rimanere vigili agli attacchi di cyber-spionaggio sponsorizzati dallo stato nordcoreano. Per mitigare i rischi dell’aumento dell’attività malevola di Andariel, i difensori incoraggiano le organizzazioni globali ad applicare tempestivamente patch per le vulnerabilità note, proteggere i server web contro le web shell, monitorare i punti finali per attività malevole e potenziare l’autenticazione e le protezioni di accesso remoto.
Gli attacchi persistenti di cyber-spionaggio attribuiti ad Andariel, il noto gruppo sponsorizzato dallo stato nordcoreano, stanno sempre più mettendo in pericolo le organizzazioni di infrastrutture critiche a livello globale. Per aiutare i team di sicurezza a identificare tempestivamente potenziali intrusioni e minimizzare il rischio di violazioni dei dati, fai affidamento su l’intera suite di prodotti SOC Prime per l’Ingegneria del Rilevamento potenziata dall’AI, la Caccia alle Minacce Automatica e la Validazione dello Stack di Rilevamento, che dota le organizzazioni di una soluzione tutto in uno per la difesa cyber collettiva.
