Експерти з кібербезпеки компанії Palo Alto Networks виявили тривожну тенденцію: північнокорейське хакерське угруповання Andariel (також відоме як Jumpy Pisces) ймовірно співпрацює з операторами вимагацького програмного забезпечення Play. Це відкриття знаменує собою безпрецедентний альянс між державною хакерською групою та злочинною вимагацькою мережею, що потенційно може призвести до появи більш складних і небезпечних кібератак.

Аналіз інциденту: як було розкрито зв’язок

Дослідники Palo Alto Networks дійшли цього висновку, проаналізувавши кібератаку, що сталася у травні 2024 року. Хакери отримали початковий доступ до мережі неназваної організації через скомпрометований обліковий запис користувача. Потім вони використали методи латерального руху для зміцнення своїх позицій у системі, застосовуючи такі інструменти, як фреймворк Sliver та бекдор Dtrack (також відомий як Valefor і Preft).

Техніки та інструменти, використані в атаці

Перед розгортанням шифрувальника Play зловмисники провели ряд підготовчих дій:

• Збір облікових даних
• Підвищення привілеїв
• Видалення сенсорів EDR (Endpoint Detection and Response)

Крім того, хакери використовували троянізований бінарний файл для крадіжки конфіденційної інформації з популярних браузерів, включаючи Google Chrome, Microsoft Edge та Brave. Цей шкідливий інструмент збирав історію переглядів, дані автозаповнення форм та інформацію про банківські картки.

Докази зв’язку між Andariel та Play

Дослідники Palo Alto Networks виділили кілька ключових факторів, що вказують на співпрацю між Andariel (Jumpy Pisces) та операторами вимагача Play:

1. Використання одного й того ж скомпрометованого облікового запису обома групами
2. Збереження зв’язку з командним сервером Sliver (172.96.137[.]224) до дня, що передував розгортанню шифрувальника
3. Відключення сервера Sliver безпосередньо перед атакою Play

Можливі сценарії співпраці

Експерти розглядають два основні сценарії взаємодії між Andariel та Play:

1. Офіційне партнерство: Andariel (Jumpy Pisces) могла стати повноцінним партнером угруповання Play, що означало б тіснішу співпрацю та обмін ресурсами.
2. Брокер початкового доступу (IAB): Andariel могла діяти як IAB, продавши доступ до скомпрометованої мережі операторам Play. Цей сценарій більш імовірний, якщо Play дійсно не використовує модель Ransomware-as-a-Service (RaaS), як стверджує угруповання.

Виявлений зв’язок між північнокорейською хакерською групою Andariel та операторами вимагача Play становить серйозну загрозу для кібербезпеки організацій у всьому світі. Цей альянс може призвести до появи більш витончених і руйнівних атак, що поєднують державні ресурси з кримінальними тактиками. Організаціям наполегливо рекомендується посилити свої заходи кібербезпеки, приділяючи особливу увагу захисту облікових даних, моніторингу мережевої активності та виявленню аномалій. Лише комплексний підхід до кібербезпеки допоможе протистояти цій зростаючій загрозі та забезпечити надійний захист критично важливих даних та інфраструктури.