Tiga organisasi berbeda di AS menjadi sasaran pada bulan Agustus 2024 oleh aktor ancaman yang disponsori negara Korea Utara bernama Andariel sebagai bagian dari serangan yang kemungkinan bermotif keuangan.
“Meskipun para penyerang tidak berhasil menyebarkan ransomware ke jaringan organisasi mana pun yang terkena dampak, kemungkinan besar serangan tersebut bermotif finansial,” kata Symantec, bagian dari Broadcom, dalam laporan yang dibagikan kepada The Hacker News.
Andariel adalah aktor ancaman yang dinilai sebagai sub-cluster dalam Grup Lazarus yang terkenal. Itu juga dilacak sebagai APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (sebelumnya Plutonium), Operation Troy, Silent Chollima, dan Stonefly. Ini sudah aktif setidaknya sejak 2009.
Sebuah elemen dalam Biro Umum Pengintaian (RGB) Korea Utara, kru peretas memiliki rekam jejak menyebarkan jenis ransomware seperti SHATTEREDGLASS dan Maui, sementara juga mengembangkan gudang pintu belakang khusus seperti Dtrack (alias Valefor dan Preft), TigerRAT, Black RAT (alias ValidAlpha), Dora RAT, dan LightHand.
Beberapa alat lain yang kurang dikenal yang digunakan oleh pelaku ancaman termasuk penghapus data dengan nama sandi Jokra dan implan canggih yang disebut Prioxer yang memungkinkan pertukaran perintah dan data dengan server perintah dan kontrol (C2).
Pada bulan Juli 2024, seorang agen intelijen militer Korea Utara yang merupakan bagian dari kelompok Andariel didakwa oleh Departemen Kehakiman AS (DoJ) karena diduga melakukan serangan ransomware terhadap fasilitas kesehatan di negara tersebut dan menggunakan dana haram tersebut untuk melakukan intrusi tambahan ke dalam pertahanan, teknologi, dan entitas pemerintah di seluruh dunia.
Serangkaian serangan terbaru ditandai dengan penerapan Dtrack, serta pintu belakang lain bernama Nukebot, yang hadir dengan kemampuan untuk menjalankan perintah, mengunduh dan mengunggah file, dan mengambil tangkapan layar.
“Nukebot belum pernah dikaitkan dengan Stonefly sebelumnya; namun, kode sumbernya bocor dan kemungkinan inilah cara Stonefly memperoleh alat tersebut,” kata Symantec.
Metode pasti yang digunakan untuk abstain dari akses awal tidak jelas, meskipun Andariel memiliki kebiasaan mengeksploitasi kelemahan keamanan N-day yang diketahui dalam aplikasi yang terhubung ke internet untuk menembus jaringan target.
Beberapa program lain yang digunakan dalam intrusi adalah Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML, dan FastReverseProxy (FRP), yang semuanya bersumber terbuka atau tersedia untuk umum.
Para penyerang juga terlihat menggunakan sertifikat tidak valid yang meniru perangkat lunak Tableau untuk menandatangani beberapa alat, sebuah taktik yang sebelumnya diungkapkan oleh Microsoft.
Meskipun fokus Andariel telah beralih ke operasi spionase sejak tahun 2019, Symantec mengatakan bahwa fokusnya pada serangan bermotif finansial adalah perkembangan yang relatif baru, dan hal ini terus berlanjut meskipun ada tindakan dari pemerintah AS.
“Kelompok ini kemungkinan terus berupaya melakukan serangan pemerasan terhadap organisasi-organisasi di AS,” tambahnya.
Perkembangan ini terjadi ketika Der Spiegel melaporkan bahwa produsen sistem pertahanan Jerman Diehl Defense telah disusupi oleh aktor yang didukung negara Korea Utara bernama Kimsuky dalam serangan spear-phishing canggih yang melibatkan pengiriman tawaran pekerjaan palsu dari kontraktor pertahanan Amerika.