Специалисты профильной компании по кибербезопасности Palo Alto Networks сообщили, что смогли выяснить, какие именно хакеры стоят за распространением вымогательского программного обеспечения Play по всему миру, которое сейчас является одним из наиболее опасных в своём классе. Эксперты утверждают, что операторами этого вируса является якобы спонсируемая правительством КНДР хакерская группировка Andariel.
В отчёте компании Palo Alto Networks и экспертов из подразделения Unit 42 утверждается, что хакерская группировка Andariel может быть либо основным аффилированным лицом вымогательского ПО Play, либо выступать в качестве первоначального посредника доступа (IAB).
Andariel — это APT-группа, которая, как полагают западные эксперты по ИБ, связана с северокорейским военным разведывательным агентством Reconnaissance General Bureau. В 2019 году США ввели санкции против северокорейских хакеров из группировок Lazarus, Bluenoroff и Andariel за их атаки на интересы США. Известно, что злоумышленники совершают атаки с целью кибершпионажа и финансирования операций Северной Кореи, а также ранее были связаны с операциями по распространению программ-вымогателей.
В 2022 году даже «Лаборатория Касперского» представила доказательства того, что Andariel использовала вирус-вымогатель Maui для атак на цели в Японии, России, Вьетнаме и Индии.
Во время реагирования на инцидент с программой-вымогателем Play в сентябре 2024 года эксперты из Unit 42 обнаружили, что хакерская группа Andariel взломала сеть клиента Palo Alto Networks в конце мая 2024 года. Злоумышленники получили первоначальный доступ через скомпрометированную учётную запись пользователя, а затем извлекли дампы реестра и развернули Mimikatz для сбора учётных данных.
Затем они развернули открытый исходный код набора для пентеста Sliver для передачи сигналов команд и управления (C2) и свою фирменную вредоносную программу для кражи информации DTrack на всех доступных хостах по протоколу SMB.
В течение следующих нескольких месяцев злоумышленники укрепляли своё присутствие в сети, создавая вредоносные службы, устанавливая сеансы протокола удалённого рабочего стола (RDP) и удаляя инструменты обнаружения и реагирования на конечные точки (EDR). Однако лишь спустя три месяца, 5 сентября, в сети был запущен вирус-шифровальщик PLAY, который зашифровал устройства.
Оригинал публикации на сайте CISOCLUB: "Северокорейских хакеров обвинили в проведении атак с применением программы-вымогателя Play".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.