Andariel (RGB): атаки Северной Кореи — RAT, обход EDR, эксфильтрация
Группа Andariel, ассоциируемая с Reconnaissance General Bureau (RGB) Северной Кореи, продолжила кибероперации с заметной активностью в 2025 году. В одном из недавних инцидентов, затронувшем европейскую организацию юридического сектора, злоумышленники закрепились в сети через имплантат, реализованный как запланированная задача, и использовали широкий набор инструментов и техник для сбора учетных данных, разведки сети и эксфильтрации данных.
Суть инцидента
Атака включала несколько этапов:
- установка имплантата, функционирующего как Scheduled Task для поддержания доступа;
- использование Protocols удаленного доступа — в частности RDP — и других векторов доступа;
- Credential Dumping и полные дампы Active Directory (через ntdsutil);
- обнаружение сети и тщательный сбор конфиденциальных документов с последующей эксфильтрацией;
- тактические меры по обходу защиты: временное отключение Windows Defender, запуск инструментов (включая Procdump) и предположительное повторное включение защиты после операций.
«Усилия по обнаружению с помощью команд выявили скрупулезный подход к ведению учета и сбору конфиденциальных документов.»
Инструменты и техники, использованные Andariel
Анализ отмечает применение как стандартных, так и кастомных инструментов и эксплойтов:
- RAT: JelusRAT — двухэтапный загрузчик, требующий для выполнения файл-ключ; StarshellRAT — .NET‑базированный RAT, ориентированный на системную дактилоскопию и эксфильтрацию;
- пользовательские утилиты: загрузчик, замаскированный под приложение MFC, веб-оболочки (например ASPXSHELL) и порт-сканер, применявшийся в предыдущих кампаниях;
- инструменты сбора учетных данных: PassView (сбор учетных данных веб-браузера), Procdump (dump процесса), а также методы полного дампа AD через ntdsutil;
- использование уязвимых драйверов и старых версий легитимных инструментов (например уязвимая версия драйвера Process Explorer — procexp), что позволило обойти механизмы EDR;
- варианты PetitPotato для повышения привилегий и другие техники эскалации;
- оперативные меры по затруднению расследования: удаление артефактов, целенаправленное внедрение запутывающих компонентов и специализированных инструментов.
Поведенческие особенности (TTP)
- типографические ошибки в командах как маркер поведения, наблюдаемый в прошлых операциях группы;
- самостоятельная постановка и развёртывание компонентов вредоносного ПО без долгого использования сторонних тулов;
- последовательность действий, направленная на сохранение доступа и минимизацию следов активности;
- комбинирование готовых эксплойтов и кастомных решений для обхода защиты и длительного латентного присутствия.
Значение инцидента
Случай с европейской юридической организацией демонстрирует, что Andariel сохраняет высокий уровень технической компетенции и организационной дисциплины. Применяемые методы — от использования уязвимых драйверов и PetitPotato до кастомных RAT и web‑shell — укрепляют позицию группы как постоянного и способного злоумышленника в киберпространстве.
Рекомендации по защите и реагированию
На основе выявленных методов атаки целесообразны следующие шаги по снижению риска и улучшению обнаружения:
- проверить Scheduled Tasks и наличие неизвестных или нестандартных задач;
- проанализировать логи RDP и аудита подключений; ограничить доступ по RDP и включить MFA для удалённого доступа;
- контролировать изменения статуса Windows Defender и других защитных механизмов; настроить оповещения при их отключении/включении;
- поиск следов использования ntdsutil, Procdump и других утилит для дампа памяти/баз данных; мониторинг необычных операций с AD;
- внедрить контроль драйверов и подписей (driver allowlisting), обновить/удалить уязвимые или устаревшие драйверы и инструменты вроде procexp с уязвимыми версиями;
- усилить обнаружение web‑shell (например ASPXSHELL) и подозрительной активности на веб‑сервере;
- ограничить привилегии, применить сегментацию сети, регулярную смену и защиту учетных данных, включить многократную аутентификацию;
- провести threat hunting по индикаторам, связанным с JelusRAT, StarshellRAT, PassView, PetitPotato и сопутствующими инструментами;
- обновлять EDR/AV и внедрять поведенческие детекторы, а также резервное копирование конфиденциальных данных и планы реагирования на инциденты.
Итог: операция Andariel в очередной раз показывает скоординированный, многоуровневый подход злоумышленников: от начального закрепления через Scheduled Task до широкомасштабного сбора данных и попыток скрыть следы. Организациям следует рассматривать такие группы как долгосрочную и адаптирующуюся угрозу и наращивать как технические, так и организационные меры защиты.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



