Symantec: северокорейские хакеры атакуют американские компании новыми вредоносными инструментами

Symantec: северокорейские хакеры атакуют американские компании новыми вредоносными инструментами

Северокорейская группировка Stonefly, также известная под такими названиями, как APT45 и Silent Chollima, была замечена в продолжении своих финансово мотивированных кибератак против американских организаций. Доказательства этих атак были приведены в новом отчёте группы исследователей Threat Hunter Team компании Symantec, которая раскрыла, что хакеры из Stonefly используют новые сложные вредоносные инструменты во время атак на три организации США в августе 2024 года.

В отчёте говорится о том, что злоумышленники из Stonefly использовали поддельный сертификат Tableau, задокументированный Microsoft, в дополнение к двум другим сертификатам, которые, по-видимому, являются уникальными для этой кампании.

Одним из наиболее заметных инструментов, которые были развернуты, был Backdoor.Preft — многоступенчатый бэкдор, связанный исключительно с Stonefly, способный загружать файлы, выполнять команды и развёртывать дополнительные плагины. Также были выявлены другие вредоносные программы, включая Nukebot и фреймворк для тестирования на проникновение Sliver.

Исследователи Threat Hunter Team отметили несколько признаков того, что эти атаки были вызваны финансовыми причинами, а не сбором государственной разведывательной информации. Хотя ни одно вымогательское ПО не было успешно развернуто, недавний переход группы к использованию этой тактики знаменует собой существенное изменение её оперативной стратегии.

По данным Symantec, зависимость Stonefly от общедоступных инструментов, например, таких как Mimikatz, Snap2HTML и Megatools, иллюстрирует расчётливую смесь пользовательского и открытого программного обеспечения. Такой подход позволяет группе сохранять гибкость, скрывая свои операции с помощью широко доступных технологий.

Эксперты напоминают, что в июле 2024 года власти США предъявили обвинение члену группировки Stonefly в вымогательстве у больниц и других учреждений.

Полная версия отчёта представлена по ссылке.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: