Detecção de Ataques Andariel: FBA, CISA e Parceiros Alertam sobre Crescente Campanha Global de Ciberespionagem Relacionada ao Grupo Patrocinado pelo Estado Norte-Coreano
Índice:
O FBI, a CISA e as principais autoridades de cibersegurança emitiram um alerta sobre as crescentes operações de ciberespionagem da Coreia do Norte ligadas ao grupo de hackers apoiado pelo estado monitorado como Andariel. A atividade de ciberespionagem do grupo envolve a coleta de dados críticos e propriedade intelectual, avançando assim os objetivos e aspirações militares e nucleares do regime.
Detecção de Ataques Andariel Descritos no Aviso CISA AA24-207A
Desde que as tensões geopolíticas vêm se intensificando globalmente, os coletivos de hackers patrocinados por estados estão em ascensão nos últimos anos. Essa tendência representa uma ameaça crescente para os defensores cibernéticos devido ao alcance e sofisticação crescentes dos kits de ferramentas dos atacantes. Os grupos APT norte-coreanos continuam entre os coletivos mais ativos no 1º trimestre de 2024, compartilhando o topo com atores chineses, iranianos e russos.
A última atividade de ciberespionagem abordada no Aviso CISA AA24-207A urge os profissionais de cibersegurança a melhorarem suas defesas contra Andariel (também conhecido como Onyx Sleet), atualmente buscando informações sensíveis relacionadas a ativos de defesa, nucleares e de engenharia em todo o mundo. Plataforma SOC Prime para defesa cibernética coletiva oferece uma coleção de regras Sigma dedicadas para identificar atividades maliciosas relacionadas, juntamente com soluções avançadas de detecção e caça de ameaças para facilitar a investigação de ameaças.
Basta clicar no botão Explorar Detecções abaixo e imediatamente acessar um conjunto de detecção personalizado para identificar a última campanha de ciberespionagem do Andariel APT. Todas as regras são compatíveis com mais de 30+ soluções de SIEM, EDR e Data Lake e mapeadas para o framework MITRE ATT&CK®. Além disso, as regras são enriquecidas com metadados extensivos, incluindo referências de inteligência de ameaças , cronogramas de ataque e recomendações.
Os defensores cibernéticos que buscam mais regras para abordar as TTPs de Andariel podem procurar no Mercado de Detecção de Ameaças usando uma tag customizada “Andariel” ou simplesmente seguir este link para acessar uma coleção mais ampla de regras associadas à atividade maliciosa do grupo.
Análise do Ataque Global de Ciberespionagem da Coreia do Norte Coberta no Alerta AA24-207A
Em 25 de julho de 2024, o FBI, a CISA e os parceiros autores emitiram um novo aviso conjunto de cibersegurança AA24-207A notificando os defensores sobre os riscos crescentes relacionados à crescente atividade de ciberespionagem do nefasto grupo norte-coreano patrocinado pelo estado. Andariel também conhecido como Onyx Sleet (PLUTONIUM, DarkSeoul e Stonefly/Clasiopa) concentra-se principalmente em entidades de defesa, aeroespacial, nuclear e de engenharia em todo o mundo para coletar informações sensíveis e técnicas, avançando os programas e objetivos militares e nucleares do regime. O grupo, que está ativo na arena de ameaças cibernéticas desde pelo menos 2009, acredita-se que evoluiu de realizar ataques destrutivos contra organizações norte-americanas e sul-coreanas para se envolver em operações de ciberespionagem direcionadas e ransomware. Os defensores consideram a atividade contínua de ciberespionagem do grupo como uma ameaça persistente para diversos setores industriais globais. Além disso, os atacantes ligados ao 3º Escritório de Finanças do RGB da República Popular Democrática da Coreia (RPDC) financiam suas operações ofensivas por meio de ataques de ransomware a organizações de saúde dos EUA.
Os atores de Andariel obtêm acesso inicial ao explorar falhas conhecidas, incluindo a vulnerabilidade Log4Shell, para implantar um web shell e acessar informações e aplicativos sensíveis. Eles utilizam técnicas padrão de descoberta e enumeração de sistema, estabelecem persistência por meio de tarefas agendadas e elevam privilégios com ferramentas como Mimikatz. Os adversários implantam malwares personalizados, RATs e ferramentas de código aberto para execução, movimento lateral e exfiltração de dados. As ferramentas e malware personalizados utilizados pela Andariel possuem capacidades sofisticadas, como execução de comandos arbitrários, keylogging, captura de tela, listagem de arquivos e diretórios, roubo de histórico de navegação e upload de conteúdo para nós C2, o que permite que os adversários mantenham acesso ao sistema comprometido, com cada implante atribuído a um nó C2 específico.
Os adversários também possuem habilidade em usar ferramentas e processos nativos nos sistemas, uma tática conhecida como LOTL. Eles aproveitam a linha de comando do Windows, PowerShell, WMIC e bash do Linux para enumeração de sistema, rede e contas. Além disso, Andariel realiza campanhas de phishing usando anexos maliciosos, como arquivos LNK ou arquivos de script HTA que frequentemente vão dentro de arquivos zip.
Eles também dependem de ferramentas de tunelamento como 3Proxy, PLINK e Stunnel, juntamente com utilitários de tunelamento proxy personalizados, para rotear o tráfego por vários protocolos de dentro de uma rede para um servidor C2. Este tunelamento permite que hacker realizem operações de C2, apesar das configurações de rede que normalmente seriam restritivas.
Quanto à exfiltração de dados, Andariel comumente depende de armazenamento em nuvem ou servidores separados de seu C2 principal. Eles foram observados entrando em suas contas de armazenagem em nuvem diretamente de redes das vítimas e usando ferramentas como PuTTY e WinSCP para transferir dados para servidores controlados pela Coreia do Norte via FTP e outros protocolos. Além disso, eles armazenam arquivos para exfiltração nas máquinas comprometidas.
Recomenda-se fortemente que as organizações de infraestrutura crítica permaneçam vigilantes aos ataques de ciberespionagem patrocinados pelo estado norte-coreano. Para mitigar os riscos da crescente atividade maliciosa de Andariel, os defensores encorajam as organizações globais a aplicarem prontamente patches para vulnerabilidades conhecidas, protegerem servidores web contra web shells, monitorarem endpoints em busca de atividades maliciosas e aprimorarem a autenticação e as proteções de acesso remoto.
Os ataques persistentes de ciberespionagem atribuídos a Andariel, o notório grupo norte-coreano patrocinado pelo estado, estão cada vez mais ameaçando organizações de infraestrutura crítica globalmente. Para ajudar as equipes de segurança a identificarem em tempo hábil possíveis intrusões e minimizar o risco de violações de dados, confiem na completa suíte de produtos da SOC Prime para Engenharia de Detecção Potenciada por IA, Caça de Ameaças Automatizada e Validação de Pilha de Detecção, que equipa organizações com uma solução completa para defesa cibernética coletiva.
