В августе 2024 года как минимум три различные организации в США подверглись кибернападению, как предполагается, со стороны северокорейской хакерской группировки Andariel. Эксперты по кибербезопасности полагают, что, в отличие от многих других атак, организуемых киберпреступниками из КНДР, в этот раз нападения представляли собой исключительно финансово мотивированные атаки.
В отчёте компании Symantec сказано, что хотя злоумышленникам из Северной Кореи не удалось внедрить вирус-вымогатель в сети ни одной из пострадавших организаций, вполне вероятно, что атаки были финансово мотивированы.
Также уточняется, что хакерская группа Andariel — это группировка, которая оценивается как субкластер известной кибергруппы Lazarus Group. Группировка отслеживается под разными наименованиями, такими как APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (ранее Plutonium), Operation Troy, Silent Chollima и Stonefly. Она активна как минимум с 2009 года.
В июле 2024 года Министерство юстиции США предъявило обвинение оперативному подразделению северокорейской военной разведки, якобы входящему в хакерскую группу Andariel, в предполагаемом проведении атак с целью вымогательства на медицинские учреждения страны и использовании полученных незаконным путём средств для осуществления дополнительных вторжений в оборонные, технологические и государственные структуры по всему миру.
Последняя серия атак, организованная группировкой Andariel, характеризуется использованием Dtrack, а также ещё одного бэкдора под названием Nukebot, который позволяет выполнять команды, загружать и выгружать файлы, а также делать снимки экрана.
«Ранее Nukebot не ассоциировался с Stonefly, однако его исходный код был раскрыт, и, вероятно, именно так Stonefly получила этот инструмент», — уточнили в компании Symantec.
Среди других программ, которые хакеры Andariel используют для кибератак, — Mimikatz, Sliver, Chisel, PuTTY, Plink, Snap2HTML и FastReverseProxy (FRP), все из которых имеют открытый исходный код или находятся в открытом доступе.