El Reino Unido, Estados Unidos y Corea del Sur han advertido sobre una campaña global de espionaje por parte de un actor de ciberamenazas patrocinado por Corea del Norte, diseñado para promover las ambiciones militares y nucleares del régimen. El aviso conjunto del gobierno detalla cómo el grupo, conocido como Andariel, ha comprometido organizaciones de infraestructura nacional crítica (CNI) para acceder a información técnica confidencial y clasificada y datos de propiedad intelectual. El actor de amenazas se dirige principalmente a organizaciones de defensa, aeroespacial, energía, nuclear y entidades de ingeniería para exfiltrar información como especificaciones de contratos, dibujos de diseño y detalles de proyectos. El grupo actúa en nombre del régimen de PyongYang, que utiliza los conocimientos recopilados para mejorar sus programas militares y nucleares. También se ha observado que Andariel realiza ataques de ransomware contra organizaciones de atención médica de EE. UU. como un medio para recaudar fondos para financiar más actividades de espionaje. Las agencias autoras evalúan que Andariel es parte de la Tercera Oficina de la Oficina General de Reconocimiento (RGB) de la República Popular Democrática de Corea (RPDC). Lea ahora: El cibercrimen, una fuente de ingresos clave para el programa de armas de Corea del Norte El grupo y sus técnicas cibernéticas siguen siendo una amenaza constante para varios sectores industriales en todo el mundo. Paul Chichester, director de operaciones del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido, comentó: «La operación de ciberespionaje global que hemos expuesto hoy muestra hasta dónde están dispuestos a llegar los actores patrocinados por el estado de la RPDC para llevar adelante sus programas militares y nucleares». Añadió: «Debería recordar a los operadores de infraestructuras críticas la importancia de proteger la información sensible y la propiedad intelectual que tienen en sus sistemas para evitar el robo y el uso indebido». Cómo Andariel apunta a las organizaciones de CNI El aviso destacó que Andariel explota principalmente vulnerabilidades de software conocidas, como Log4j, para obtener acceso inicial a las redes objetivo. El grupo probablemente identifica sistemas vulnerables utilizando herramientas de escaneo de Internet disponibles públicamente que revelan información como vulnerabilidades en servidores web públicos. Lea ahora: Las vulnerabilidades ahora son la principal ruta de acceso inicial para el ransomware Andariel ha investigado una serie de vulnerabilidades importantes como parte de su proceso de reconocimiento. Entre ellos se incluyen Apache ActiveMQ, MOVEIt, Barracuda Email Security Gateway, GoAnywhere MFT y Log4j. Tras el acceso inicial, el grupo aprovecha herramientas personalizadas y malware para el descubrimiento y la ejecución. Esto incluye el desarrollo de una amplia gama de RAT para permitir el acceso remoto, la manipulación de sistemas y el movimiento lateral. Estas herramientas contienen funcionalidad diseñada para el descubrimiento y la exfiltración de datos, incluida la ejecución de comandos arbitrarios, el registro de teclas, las capturas de pantalla, el listado de archivos y directorios, la recuperación del historial del navegador, el espionaje de procesos, la creación y escritura de archivos, la captura de conexiones de red y la carga de contenido al comando y control (C2). Andariel también aprovecha herramientas de malware de código abierto, como 3Proxy, AysncRAT y WinRAR. El uso de este malware disponible públicamente ayuda a los atacantes a ocultar y ofuscar sus identidades, lo que dificulta la atribución. Técnicas de vida fuera de la tierra Los actores de amenazas están bien versados ​​en técnicas de vida fuera de la tierra, utilizando herramientas y procesos nativos dentro de redes comprometidas. Estas herramientas se utilizan para ayudar a realizar acciones como la evasión de defensas, el acceso a credenciales, el descubrimiento y el movimiento lateral. Entre ellas se incluyen herramientas legítimas como la línea de comandos de Windows, PowerShell, la línea de comandos de Instrumental de administración de Windows (WMIC). Andariel tiene preferencia por utilizar comandos netstat, observaron las agencias. A menudo, se cometen errores tipográficos y de otro tipo, lo que indica que los comandos no se copian directamente de un libro de jugadas y que los actores tienen un enfoque flexible e improvisado, además de que los atacantes tienen un conocimiento deficiente del idioma inglés. Los actores suelen incluir herramientas de última generación en VMProtect y Themida, que tienen capacidades avanzadas de detección y antidepuración. Cambian la configuración de los sistemas comprometidos para obligar al sistema a almacenar credenciales y luego utilizan las herramientas mencionadas anteriormente para robarlas. Se utilizan infraestructuras ubicadas en todo el mundo para enviar comandos a los sistemas comprometidos, con malware disfrazado dentro de paquetes HTTP para que parezca tráfico de red benigno. Exfiltración de datos Para la exfiltración de datos, los actores de amenazas utilizan malware que previamente colocaron en la red para buscar entre archivos que podrían ser de interés, incluido el escaneo de archivos de computadora en busca de palabras clave relacionadas con los sectores de defensa y militar en inglés y coreano. Luego, identifican los datos para robar enumerando archivos y carpetas en muchos directorios y servidores utilizando la actividad de línea de comandos o la funcionalidad integrada en herramientas personalizadas. Los archivos relevantes se recopilan en archivos RAR. Finalmente, los datos se exfiltran a servicios web como almacenamiento en la nube o servidores no asociados con su C2 principal, incluido el inicio de sesión en cuentas de servicio basadas en la nube controladas por el actor directamente desde las redes de la víctima. También se ha observado que los actores usan las utilidades PuTTY y WinSCP para exfiltrar datos a servidores controlados por Corea del Norte a través del Protocolo de transferencia de archivos (FTP) y otros protocolos. Cómo mitigar los ataques de Andariel El aviso estableció una variedad de áreas en las que los defensores de CNI deberían centrarse para mitigar las tácticas empleadas por Andariel. Estos incluyen: Identificar los activos afectados por la vulnerabilidad Log4j y actualizarlos a las últimas versiones Prevenir la explotación de servidores web manteniendo un inventario de sistemas y aplicaciones, aplicando rápidamente parches a medida que se lanzan, poniendo sistemas vulnerables o potencialmente riesgosos detrás de servidores proxy inversos que requieren autenticación e implementando y configurando firewalls de aplicaciones web (WAF) Implementar agencias de puntos finales u otros mecanismos de monitoreo para prevenir y detectar más actividad adversa Monitorear la actividad sospechosa de la línea de comandos, implementar la autenticación multifactor para servicios de acceso remoto y segmentar y usar adecuadamente herramientas de listas blancas para activos críticos Cifrar todos los datos confidenciales, incluida la información personal Bloquear el acceso a puertos no utilizados Cambiar las contraseñas cuando se sospecha que están comprometidas