Andariel (RGB): атаки Северной Кореи — RAT, обход EDR, эксфильтрация

Группа Andariel, ассоциируемая с Reconnaissance General Bureau (RGB) Северной Кореи, продолжила кибероперации с заметной активностью в 2025 году. В одном из недавних инцидентов, затронувшем европейскую организацию юридического сектора, злоумышленники закрепились в сети через имплантат, реализованный как запланированная задача, и использовали широкий набор инструментов и техник для сбора учетных данных, разведки сети и эксфильтрации данных.

Суть инцидента

Атака включала несколько этапов:

  • установка имплантата, функционирующего как Scheduled Task для поддержания доступа;
  • использование Protocols удаленного доступа — в частности RDP — и других векторов доступа;
  • Credential Dumping и полные дампы Active Directory (через ntdsutil);
  • обнаружение сети и тщательный сбор конфиденциальных документов с последующей эксфильтрацией;
  • тактические меры по обходу защиты: временное отключение Windows Defender, запуск инструментов (включая Procdump) и предположительное повторное включение защиты после операций.

«Усилия по обнаружению с помощью команд выявили скрупулезный подход к ведению учета и сбору конфиденциальных документов.»

Инструменты и техники, использованные Andariel

Анализ отмечает применение как стандартных, так и кастомных инструментов и эксплойтов:

  • RAT: JelusRAT — двухэтапный загрузчик, требующий для выполнения файл-ключ; StarshellRAT — .NET‑базированный RAT, ориентированный на системную дактилоскопию и эксфильтрацию;
  • пользовательские утилиты: загрузчик, замаскированный под приложение MFC, веб-оболочки (например ASPXSHELL) и порт-сканер, применявшийся в предыдущих кампаниях;
  • инструменты сбора учетных данных: PassView (сбор учетных данных веб-браузера), Procdump (dump процесса), а также методы полного дампа AD через ntdsutil;
  • использование уязвимых драйверов и старых версий легитимных инструментов (например уязвимая версия драйвера Process Explorer — procexp), что позволило обойти механизмы EDR;
  • варианты PetitPotato для повышения привилегий и другие техники эскалации;
  • оперативные меры по затруднению расследования: удаление артефактов, целенаправленное внедрение запутывающих компонентов и специализированных инструментов.

Поведенческие особенности (TTP)

  • типографические ошибки в командах как маркер поведения, наблюдаемый в прошлых операциях группы;
  • самостоятельная постановка и развёртывание компонентов вредоносного ПО без долгого использования сторонних тулов;
  • последовательность действий, направленная на сохранение доступа и минимизацию следов активности;
  • комбинирование готовых эксплойтов и кастомных решений для обхода защиты и длительного латентного присутствия.

Значение инцидента

Случай с европейской юридической организацией демонстрирует, что Andariel сохраняет высокий уровень технической компетенции и организационной дисциплины. Применяемые методы — от использования уязвимых драйверов и PetitPotato до кастомных RAT и web‑shell — укрепляют позицию группы как постоянного и способного злоумышленника в киберпространстве.

Рекомендации по защите и реагированию

На основе выявленных методов атаки целесообразны следующие шаги по снижению риска и улучшению обнаружения:

  • проверить Scheduled Tasks и наличие неизвестных или нестандартных задач;
  • проанализировать логи RDP и аудита подключений; ограничить доступ по RDP и включить MFA для удалённого доступа;
  • контролировать изменения статуса Windows Defender и других защитных механизмов; настроить оповещения при их отключении/включении;
  • поиск следов использования ntdsutil, Procdump и других утилит для дампа памяти/баз данных; мониторинг необычных операций с AD;
  • внедрить контроль драйверов и подписей (driver allowlisting), обновить/удалить уязвимые или устаревшие драйверы и инструменты вроде procexp с уязвимыми версиями;
  • усилить обнаружение web‑shell (например ASPXSHELL) и подозрительной активности на веб‑сервере;
  • ограничить привилегии, применить сегментацию сети, регулярную смену и защиту учетных данных, включить многократную аутентификацию;
  • провести threat hunting по индикаторам, связанным с JelusRAT, StarshellRAT, PassView, PetitPotato и сопутствующими инструментами;
  • обновлять EDR/AV и внедрять поведенческие детекторы, а также резервное копирование конфиденциальных данных и планы реагирования на инциденты.

Итог: операция Andariel в очередной раз показывает скоординированный, многоуровневый подход злоумышленников: от начального закрепления через Scheduled Task до широкомасштабного сбора данных и попыток скрыть следы. Организациям следует рассматривать такие группы как долгосрочную и адаптирующуюся угрозу и наращивать как технические, так и организационные меры защиты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: