Una conocida amenaza avanzada persistente (APT, por sus siglas en inglés) de Corea del Norte ha cambiado su enfoque para apuntar a empresas privadas en Estados Unidos para obtener ganancias financieras.
Los investigadores del equipo Threat Hunter de Symantec dijeron esta semana que el grupo patrocinado por el estado al que rastrean como “Stonefly” (también conocido como Andariel, APT45, Silent Chollima y Onyx Sleet) muestra un acto de acusación y una Recompensa de 10 millones de dólares del Departamento de Justicia (DoJ) de Estados Unidos, con el fin de acumular más fondos para el régimen de Kim Jong-Un.
Stonefly, parte de la Oficina General de Reconocimiento (RGB) de Corea del Norte, lanzó ataques contra tres organizaciones en Estados Unidos en agosto, aproximadamente un mes después de que el Departamento de Justicia tomara medidas contra el grupo. Las víctimas, señalaron los investigadores, “no tenían ningún valor de inteligencia obvio” y probablemente estaban preparadas para un ataque de ransomware, aunque las intrusiones se detectaron antes de que pudiera tener lugar el final.
Centrarse en la recaudación de fondos es un enfoque relativamente nuevo para el grupo, señalaron los investigadores de Symantec, aunque otras PTA de Corea del Norte se dedican a estafar. monedas extranjeras para el régimen. En el pasado, Stonefly atacó hospitales y otros proveedores de atención médica durante la pandemia (lo que atrajo la atención del Departamento de Justicia) y se sabe que los persigue. objetivos de espionaje de alto valor como las bases de la Fuerza Aérea de los EE. UU., la Oficina del Inspector General de la NASA y organizaciones gubernamentales en China, Corea del Sury Taiwán.
“Desde al menos 2019, Symantec ha visto su atención centrada principalmente en operaciones de espionaje contra objetivos selectos y de alto valor”, según el análisis. “Parece especializarse en apuntar a organizaciones que poseen información clasificada o altamente sensible o derechos de propiedad intelectual… [Stonefly had] no parecía estar implicado en ataques por motivos económicos. »
Investigue los IoC de Stonefly para contrarrestar los ataques de ransomware
Con el enfoque menos centrado de Stonefly en desviar fondos de empresas privadas desprevenidas, resulta rentable que las empresas ordinarias que normalmente no se consideran objetivos APT se familiaricen con los Indicadores de Compromiso (IoC) del grupo.
Y hay muchos. Aunque el ransomware nunca se implementó en los ataques de agosto y la ruta de compromiso inicial no estaba clara, Stonefly logró contrabandear muchas de las herramientas de su kit antes de ser finalmente frustrado.
“En varios ataques, se implementó el malware personalizado Backdoor.Preft (también conocido como Dtrack, Valefor) de Stonefly”, según Symantec. publicación de blog. “Además, los atacantes utilizaron un certificado falso de Tableau documentado por Microsoft, además de otros dos certificados que parecen ser exclusivos de esta campaña”.
El kit de herramientas también incluía Nukebot, que es una puerta trasera capaz de ejecutar comandos, cargar y descargar archivos y tomar capturas de pantalla; Mimikatz; dos registradores de teclas diferentes; EL Marco de pruebas de penetración multiplataforma de código abierto Sliver; el cliente PuTTY SSH; enlace; Megaherramientas; una utilidad que toma instantáneas de las estructuras de carpetas en un disco duro y las guarda como archivos HTML; y FastReverseProxy, que puede exponer servidores locales a la Internet pública.