Эксперты по кибербезопасности из компании Palo Alto Networks обнаружили тревожную тенденцию: северокорейская хакерская группа Andariel, также известная как Jumpy Pisces, вероятно, сотрудничает с операторами вымогательского ПО Play. Это открытие знаменует собой беспрецедентный альянс между государственной хакерской группировкой и преступной вымогательской сетью, что потенциально может привести к появлению более сложных и опасных кибератак.
Анализ инцидента: как была раскрыта связь
Исследователи Palo Alto Networks пришли к этому выводу, проанализировав кибератаку, произошедшую в мае 2024 года. Хакеры получили первоначальный доступ к сети неназванной организации через скомпрометированную учетную запись пользователя. Затем они использовали методы бокового перемещения для укрепления своих позиций в системе, применяя такие инструменты, как фреймворк Sliver и бэкдор Dtrack (также известный как Valefor и Preft).
Особенно примечательно то, что эти инструменты поддерживали связь с командным сервером злоумышленников до начала сентября, после чего в сети жертвы был развернут вымогатель Play. Этот факт указывает на длительное присутствие хакеров в скомпрометированной системе и тщательную подготовку к финальной стадии атаки.
Техники и инструменты, использованные в атаке
Перед развертыванием шифровальщика Play злоумышленники провели ряд подготовительных действий:
- Сбор учетных данных
- Повышение привилегий
- Удаление сенсоров EDR (Endpoint Detection and Response)
Кроме того, хакеры использовали троянизированный бинарный файл для кражи конфиденциальной информации из популярных браузеров, включая Google Chrome, Microsoft Edge и Brave. Этот вредоносный инструмент собирал историю просмотров, данные автозаполнения форм и информацию о банковских картах.
Доказательства связи между Andariel и Play
Исследователи Palo Alto Networks выделили несколько ключевых факторов, указывающих на сотрудничество между Andariel (Jumpy Pisces) и операторами вымогателя Play:
- Использование одной и той же скомпрометированной учетной записи обеими группами
- Сохранение связи с командным сервером Sliver (172.96.137[.]224) до дня, предшествовавшего развертыванию шифровальщика
- Отключение сервера Sliver непосредственно перед атакой Play
Возможные сценарии сотрудничества
Эксперты рассматривают два основных сценария взаимодействия между Andariel и Play:
- Официальное партнерство: Andariel (Jumpy Pisces) могла стать полноценным партнером группировки Play, что означало бы более тесное сотрудничество и обмен ресурсами.
- Брокер начального доступа (IAB): Andariel могла действовать как IAB, продав доступ к скомпрометированной сети операторам Play. Этот сценарий более вероятен, если Play действительно не использует модель Ransomware-as-a-Service (RaaS), как утверждает группировка.
Выявленная связь между северокорейской хакерской группой Andariel и операторами вымогателя Play представляет собой серьезную угрозу для кибербезопасности организаций по всему миру. Этот альянс может привести к появлению более изощренных и разрушительных атак, сочетающих государственные ресурсы с криминальными тактиками. Организациям настоятельно рекомендуется усилить свои меры кибербезопасности, уделяя особое внимание защите учетных данных, мониторингу сетевой активности и обнаружению аномалий. Только комплексный подход к кибербезопасности поможет противостоять этой растущей угрозе.
