Il Dipartimento di Giustizia degli Stati Uniti ha identificato un membro del gruppo Onyx Sleet (noto anche come Andariel o APT45) legato all’intelligence nordcoreana. Rim Jong Hyok è accusato di aver partecipato agli attacchi ransomware contro diversi ospedali statunitensi. Microsoft ha descritto le tecniche utilizzate dai cybercriminali.
Onyx Sleet: tattiche, tecniche e procedure
Onyx Sleet ha spesso utilizzato email di spear phishing per ottenere l’accesso iniziale alle reti delle vittime. Più recentemente ha sfruttato vulnerabilità software per compromettere i sistemi. La catena di infezione comprende inoltre loader, downloader e backdoor. Durante gli attacchi effettuati a dicembre 2023 contro appaltatori della difesa della Corea del Sud, i cybercriminali hanno usato quattro malware: TigerRAT, SmallTiger, LightHand e ValidAlpha.
TigerRAT è un Remote Access Trojan che può rubare dati confidenziali, registrare lo schermo e catturare i tasti premuti (keylogging). SmallTiger è una backdoor scritta in linguaggio C++ che viene distribuita come DLL e caricata in memoria. Anche LightHand è una backdoor, ma può eseguire comandi arbitrari e cancellare file. Simili funzionalità sono disponibili con ValidAlpha, un’altra backdoor.
È chiaro quindi che l’attività principale di Onyx Sleet è quella di cyberspionaggio. Molto probabilmente, gli attacchi ransomware servono come fonte di finanziamento. Nel caso degli ospedali statunitensi è stato utilizzato il ransomware Maui. Il riscatto chiesto ad un ospedale del Kansas è 100.000 dollari. La somma in criptovalute è stata successivamente riciclata in yuan da una banca cinese.
Il Dipartimento di Stato offre fino a 10 milioni di dollari a chiunque fornisca informazioni utili sulla posizione di Rim Jong Hyok o consenta di individuare gli altri membri di Onyx Sleet.