Symantec: северокорейские хакеры атакуют американские компании новыми вредоносными инструментами

Северокорейская группировка Stonefly, также известная под такими названиями, как APT45 и Silent Chollima, была замечена в продолжении своих финансово мотивированных кибератак против американских организаций. Доказательства этих атак были приведены в новом отчёте группы исследователей Threat Hunter Team компании Symantec, которая раскрыла, что хакеры из Stonefly используют новые сложные вредоносные инструменты во время атак на три организации США в августе 2024 года.
В отчёте говорится о том, что злоумышленники из Stonefly использовали поддельный сертификат Tableau, задокументированный Microsoft, в дополнение к двум другим сертификатам, которые, по-видимому, являются уникальными для этой кампании.
Одним из наиболее заметных инструментов, которые были развернуты, был Backdoor.Preft — многоступенчатый бэкдор, связанный исключительно с Stonefly, способный загружать файлы, выполнять команды и развёртывать дополнительные плагины. Также были выявлены другие вредоносные программы, включая Nukebot и фреймворк для тестирования на проникновение Sliver.
Исследователи Threat Hunter Team отметили несколько признаков того, что эти атаки были вызваны финансовыми причинами, а не сбором государственной разведывательной информации. Хотя ни одно вымогательское ПО не было успешно развернуто, недавний переход группы к использованию этой тактики знаменует собой существенное изменение её оперативной стратегии.
По данным Symantec, зависимость Stonefly от общедоступных инструментов, например, таких как Mimikatz, Snap2HTML и Megatools, иллюстрирует расчётливую смесь пользовательского и открытого программного обеспечения. Такой подход позволяет группе сохранять гибкость, скрывая свои операции с помощью широко доступных технологий.
Эксперты напоминают, что в июле 2024 года власти США предъявили обвинение члену группировки Stonefly в вымогательстве у больниц и других учреждений.
Полная версия отчёта представлена по ссылке.



