g0138-andariel - RunkIntel

# Andariel ## Visão Geral Andariel (também rastreado como APT45, Onyx Sleet e Silent Chollima) e um grupo de ameaça patrocinado pelo Estado norte-coreano, operado pelo **Reconnaissance General Bureau (RGB) - 3o Bureau**. Considerado subconjunto do [[g0032-lazarus-group|Lazarus Group]], o Andariel e distinguido por seu perfil único de **dupla missao**: espionagem estratégica em defesa e tecnologia + **financiamento do regime via ransomware** contra hospitais e infraestrutura critica. O Andariel e classificado pelo Mandiant como o **APT norte-coreano mais frequentemente observado atacando infraestrutura critica**. Em julho de 2024, o DoJ americano **indiciou Rim Jong Hyok**, operador confirmado do grupo, por ataques ransomware Maui contra hospitais americanos. O mesmo individuo usou os proventos do ransomware para financiar intrusoes contra defesa, tecnologia e governo global. A descoberta mais significativa de 2024 foi a **colaboracao com o grupo Play Ransomware** - a primeira vez que um APT norte-coreano foi documentado usando infraestrutura de ransomware de terceiros, possívelmente como Initial Access Broker (IAB) ou afiliado. **Também conhecido como:** Andariel, Silent Chollima, PLUTONIUM, Onyx Sleet, APT45, Stonefly, DarkSeoul, Nickel Hyatt, TDrop2, Jumpy Pisces ## Campanhas Recentes (2024-2025) > [!danger] Colaboracao com Play Ransomware - 2024 > Unit 42 documentou que Andariel (rastreado como Jumpy Pisces) manteve acesso persistente a uma organização americana de maio a setembro de 2024 usando [[s0633-sliver|Sliver]] C2 e [[s0567-dtrack|DTrack]] infostealer, antes de viabilizar a implantação de **Play Ransomware** em setembro de 2024. Esta e a primeira instancia documentada de um APT norte-coreano operando como IAB ou afiliado de grupo ransomware ocidental. > [!warning] Indiciamento de Operador - Julho 2024 > O DoJ americano indiciou Rim Jong Hyok por ataques ransomware Maui a pelo menos 8 organizacoes de saúde americanas (2021-2023) e exfiltração de +30GB de dados tecnico-militares de contractors de defesa americanos. Também foram alvos: 2 bases da Forca Aerea dos EUA, NASA-OIG e contractors de defesa sul-coreanos e taiwaneses. > [!info] DoraRAT - Coreia do Sul Abril 2024 > Em abril de 2024, Andariel explorou uma vulnerabilidade em uma VPN domestica sul-coreana para distribuir atualizacoes falsas que instalavam [[doraRAT|DoraRAT]] - um RAT minimalista focado em exfiltração de arquivos grandes - em empresas de construcao e maquinario. ### Timeline ```mermaid timeline title Andariel - Linha do Tempo 2009 : Primeiras atividades documentadas 2014 : Primeiro targeting detectado por Microsoft 2019 : Sancao do Departamento do Tesouro EUA 2021 : Maui ransomware contra hospitais EUA inicio 2021-10 : Exploração de Log4Shell CVE-2021-44228 2023-10 : Exploração JetBrains TeamCity CVE-2023-42793 2024-04 : DoraRAT contra construcao e manufatura sul-coreana 2024-07 : Indiciamento Rim Jong Hyok pelo DoJ americano 2024-08 : Ataques a 3 organizacoes americanas - tentativa ransomware 2024-09 : Play Ransomware implantado via acceso Andariel 2024-11 : Colaboracao APT45 e Play Ransomware documentada pela Unit 42 ``` ## Arsenal de Malware e Ferramentas | Ferramenta | Tipo | Uso | |-----------|------|-----| | [[s0567-dtrack\|DTrack]] | Infostealer/Backdoor | Coleta de dados de sistema, exfiltração | | [[maui-ransomware\|Maui Ransomware]] | Ransomware | Cifragem de arquivos em hospitais e saúde | | [[lighthand\|LightHand]] | Backdoor customizado | Execução remota de comandos | | [[blackrat\|BlackRAT]] | RAT | Acesso remoto, controle de endpoint | | [[doraRAT\|DoraRAT]] | RAT minimalista | Exfiltração furtiva de arquivos grandes | | [[nukebot\|Nukebot]] | Backdoor | Execução comandos, upload/download, screenshots | | [[s0633-sliver\|Sliver]] | C2 open-source | Framework C2 compartilhado/alugado | | [[mimikatz\|Mimikatz]] | Credential dumping | Extrracao de hashes e credenciais (LSASS) | | [[tigerRAT\|TigerRAT]] | RAT | Acesso remoto e lateral movement | | [[s0433-rifdoor\|Rifdoor]] | Backdoor | Acesso inicial e persistência | ## Attack Flow - Dupla Missao (Espionagem + Ransomware) ```mermaid graph TB A["Acesso Inicial N-day exploits ou phishing Log4Shell CVE-2023-42793"] --> B["Reconhecimento Enumeracao de rede e processos T1049 + T1057"] B --> C["Persistência DTrack + LightHand backdoor T1105 + T1547"] C --> D{"Missao?"} D --> E["Espionagem Dados militares e tecnologia DTrack exfil - T1005"] D --> F["Ransomware Acesso vendido ou Play Play IAB - 2024"] E --> G["Exfiltração Técnica 30+ GB dados de defesa T1567 + T1041"] F --> H["Lateral Movement Sliver C2 + PsExec T1021.002 + Mimikatz"] H --> I["Cifragem Maui ou Play Ransomware T1486 - desinstala EDR antes"] style A fill:#e74c3c,color:#fff style B fill:#e67e22,color:#fff style C fill:#f39c12,color:#fff style D fill:#2980b9,color:#fff style E fill:#27ae60,color:#fff style F fill:#c0392b,color:#fff style G fill:#16a085,color:#fff style H fill:#8e44ad,color:#fff style I fill:#922b21,color:#fff ``` ## Técnicas Utilizadas - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1590-005-ip-addresses|T1590.005 - IP Addresses]] - [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1592-002-software|T1592.002 - Software]] - [[t1588-001-malware|T1588.001 - Malware]] - [[t1204-002-malicious-file|T1204.002 - Malicious File]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1021-002-smb-windows-admin-shares|T1021.002 - SMB Windows Admin Shares]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] - [[t1562-001-disable-or-modify-tools|T1562.001 - Disable or Modify Tools]] ## Software Utilizado - [[s0567-dtrack|DTrack]] - [[maui-ransomware|Maui Ransomware]] - [[lighthand|LightHand]] - [[blackrat|BlackRAT]] - [[doraRAT|DoraRAT]] - [[nukebot|Nukebot]] - [[s0633-sliver|Sliver]] - [[mimikatz|Mimikatz]] - [[tigerRAT|TigerRAT]] - [[s0433-rifdoor|Rifdoor]] - [[gh0st-rat|gh0st RAT]] ## CVEs Explorados - [[cve-2021-44228|CVE-2021-44228 - Log4Shell]] - Explorado desde novembro 2021 contra infraestrutura critica - [[cve-2023-42793|CVE-2023-42793 - JetBrains TeamCity RCE]] - Explorado em outubro 2023 ## Relevância para o Brasil e LATAM > [!warning] Risco Real para Saúde e Infraestrutura Critica > O Andariel representa uma ameaça direta e subestimada para o Brasil. O modelo de **financiamento via ransomware em hospitais** - documentado contra servicos de saúde americanos - e totalmente transponivel para o setor de saúde brasileiro, que apresenta segurança frequentemente inadequada e capacidade de pagar resgates. O uso de **CVEs conhecidos em aplicações públicas** (Log4Shell, TeamCity) como vetor de acesso inicial significa que organizacoes brasileiras com sistemas desatualizados sao alvos válidos. A colaboracao documentada com **Play Ransomware** em 2024 expande o vetor de ameaça: o Andariel pode vender acesso a redes brasileiras a grupos ransomware ocidentais. Setores de alto risco no Brasil: saúde (hospitais e laboratorios), contratantes de defesa, empresas de tecnologia e infraestrutura critica (energia, telecomúnicacoes). ## Detecção > [!tip] Sinalizadores de Detecção > - Exploração de CVEs públicos em aplicações voltadas para internet (especialmente Java/Log4j, CI/CD systems) > - DTrack beacon - comunicação periodica com C2 via HTTP > - Sliver C2 framework em ambientes que nao usam ferramentas de red team legitimas > - Desinstalacao de agentes EDR imediatamente antes de atividade criptografica massiva > - LSASS dumps via Task Manager ou ferramentas de terceiros (Mimikatz) > - Propagação via SMB (net use C$) com credenciais comprometidas em múltiplos hosts > - Criptografia de arquivos em lote com extensoes incomuns (indicativo de Maui/Play) ## Referências [1](https://thehackernews.com/2024/07/us-doj-indicts-north-korean-hacker-for.html) The Hacker News - DoJ Indicia Operador Andariel (Jul 2024) [2](https://thehackernews.com/2024/10/andariel-hacker-group-shifts-focus-to.html) The Hacker News - Andariel Ataca EUA Agosto 2024 com Nukebot (Out 2024) [3](https://www.anvilogic.com/threat-reports/north-korea-andariel-play) Anvilogic - Andariel e Play Ransomware (Nov 2024) [4](https://www.theregister.com/2024/07/26/andariel_indictment_north_korea/) The Register - Indiciamento NASA Bases Aereas Contractors Defesa (Jul 2024) [5](https://oig.nasa.gov/news/nasa-cybercrime-sleuths-aid-nation-wide-investigation-to-expose-north-korean-ransomware-scheme/) NASA OIG - Investigação Log4Shell Andariel [6](https://attack.mitre.org/groups/G0138/) MITRE ATT&CK - G0138 Andariel