Τον Αύγουστο του 2024, τρεις διαφορετικές οργανώσεις στις Η.Π.Α. έγιναν στόχος μιας hacking συμμορίας, γνωστή ως Andariel, που υποστηρίζεται από το κράτος της Βόρειας Κορέας και φαίνεται ότι επιδιώκει χρηματικά κίνητρα.

Σύμφωνα με report της Symantec, που ανήκει στη Broadcom, οι hackers δεν κατάφεραν να εγκαταστήσουν ransomware στα δίκτυα των επηρεαζόμενων οργανισμών. Παρ’ όλα αυτά, οι επιθέσεις φαίνεται ότι είχαν οικονομικά κίνητρα.

Η συμμορία Andariel θεωρείται υποομάδα της γνωστής ομάδας Lazarus και έχει παρακολουθηθεί επίσης ως APT45, DarkSeoul, Nickel Hyatt και άλλες ονομασίες. Δραστηριοποιείται από το 2009 και συνδέεται με την Υπηρεσία Γενικής Αναγνώρισης της Βόρειας Κορέας. Έχει ιστορικό στην ανάπτυξη ransomware όπως τα SHATTEREDGLASS και Maui, καθώς και custom backdoors, όπως το Dtrack, TigerRAT και άλλα.

Η πρόσφατη σειρά επιθέσεων περιλαμβάνει την ανάπτυξη του Dtrack και ενός ακόμη backdoor, του Nukebot, που διαθέτει δυνατότητες εκτέλεσης εντολών, λήψης και αποστολής αρχείων, καθώς και την ικανότητα να καταγράφει στιγμιότυπα οθόνης. Η Symantec ανέφερε ότι η μέθοδος αρχικής πρόσβασης παραμένει ασαφής, αν και η ομάδα Andariel συνήθως εκμεταλλεύεται γνωστές ευπάθειες ασφαλείας.

Επιπλέον, έχει παρατηρηθεί ότι οι hackers χρησιμοποιούν ένα ψεύτικο πιστοποιητικό που προσποιείται το λογισμικό Tableau για να υπογράψουν εργαλεία. Παρά την στροφή του Andariel σε επιχειρήσεις κατασκοπείας από το 2019, η Symantec επισημαίνει ότι οι χρηματοοικονομικές επιθέσεις αποτελούν μια πρόσφατη εξέλιξη που συνεχίζεται παρά τις προσπάθειες της αμερικανικής κυβέρνησης.