Sommario
Il team di Symantec ha scoperto prove che il gruppo nordcoreano noto come Stonefly (noto anche come Andariel, APT45, Silent Chollima, Onyx Sleet) continua a condurre attacchi di estorsione contro organizzazioni negli Stati Uniti. Questo nonostante l’esistenza di un atto d’accusa e l’offerta di una ricompensa da parte del governo USA. Ad agosto 2024, il gruppo ha effettuato intrusioni contro tre diverse società statunitensi. Sebbene non sia riuscito a installare ransomware sulle reti delle organizzazioni colpite, gli attacchi erano probabilmente finanziariamente motivati.
Attribuzione e strumenti utilizzati
Il malware personalizzato Backdoor.Preft (conosciuto anche come Dtrack o Valefor) è stato usato negli attacchi, confermando il coinvolgimento di Stonefly da parte di Symantec. Altri indicatori di compromissione utilizzati, già documentati da Microsoft, sono stati trovati nelle reti violate. Gli attacchi hanno coinvolto l’uso di certificati falsi, tra cui uno che imitava un certificato di Tableau.
Toolset Principali Usati negli attacchi
- Backdoor.Preft: backdoor multistadio in grado di scaricare e caricare file, eseguire comandi e scaricare plugin aggiuntivi.
- Nukebot: backdoor in grado di eseguire comandi, scaricare e caricare file, e fare screenshot. Si tratta di un nuovo strumento associato a Stonefly, acquisito dopo la diffusione del suo codice sorgente.
- Mimikatz: Strumento open-source di dumping delle credenziali, utilizzato per scrivere credenziali raccolte su file specifici, come “KB0722.log”.
- Keylogger Personalizzati: Due varianti di keylogger capaci di rubare dati dalla clipboard e registrare le sequenze di tasti.
- Sliver e Chisel: Strumenti open-source per penetration testing e proxying, usati per spostare i dati attraverso tunnel TCP/UDP.
- PuTTY e Plink: Strumenti comunemente usati per connessioni SSH e di linea di comando.
- Megatools: Client per il servizio di cloud storage Mega.nz, usato per l’esfiltrazione dei dati.
- Snap2HTML e FRP (FastReverseProxy): Strumenti pubblicamente disponibili per scattare snapshot delle strutture delle cartelle e per esporre server locali all’internet pubblica.
Attacchi precedenti di Stonefly e attività attuali
Nel luglio 2024, il Dipartimento di Giustizia USA ha incriminato un cittadino nordcoreano, Rim Jong Hyok, per la sua presunta partecipazione agli attacchi di Stonefly. Questi attacchi includevano estorsioni rivolte a ospedali e fornitori di servizi sanitari statunitensi tra il 2021 e il 2023, il riciclaggio di proventi del ransomware e attacchi aggiuntivi a settori della difesa, tecnologia e governo.
Stonefly è stato attivo sin dal 2009, inizialmente con attacchi DDoS contro siti web sudcoreani e statunitensi, ma negli anni, le sue capacità sono cresciute, con un focus maggiore su operazioni di spionaggio rivolte a obiettivi di alto valore e solo recentemente il gruppo ha iniziato a impegnarsi in attacchi finanziariamente motivati attraverso la tecnica dell’estorsione. Leggi la storia su Matrice Digitale
