Слив засчитан
Image

Слив засчитан

Твои данные уже на прилавке даркнета, пока ты слепо веришь в надежность своей двухфакторки. 

2200 компаний в один клик. Как испортить обновление софта по-северокорейски

Andariel WithSecure КНДР TigerRAT Европа
2200 компаний в один клик. Как испортить обновление софта по-северокорейски
Andariel WithSecure КНДР TigerRAT Европа

Группировка Andariel атаковала госструктуры в Европе.

image

Хакерская группировка Andariel, связанная с Северной Кореей, снова напомнила о себе серией сложных кибератак в Европе и Южной Корее. Новый отчет компании WithSecure показывает, что группа не только активно шпионит за государственными структурами, но и развивает собственный арсенал вредоносных инструментов, включая ранее неизвестные трояны удаленного доступа.

Одну из атак специалисты зафиксировали в 2025 году в Европе. Целью стала организация из публично-правового сектора. Злоумышленники незаметно закрепились в системе с помощью вредоносного ПО TigerRAT, которое использовали как постоянную точку доступа. Через него они вручную управляли системой, собирали данные, сканировали сеть и перемещались между компьютерами. Особый интерес вызвали документы, связанные с противодействием отмыванию денег. Исследователи считают, что основной целью операции был кибершпионаж, что хорошо вписывается в стратегию КНДР по сбору чувствительной информации для обхода международных санкций.

В ходе расследования специалисты обнаружили сервер подготовки атак, который использовала группа Andariel. На нем хранились инструменты, вредоносные файлы и управляющая инфраструктура. Анализ этих данных позволил выявить еще одну масштабную кампанию, направленную на Южную Корею. Там хакеры атаковали крупного поставщика ERP-софта, решения которого используют более 2 200 компаний из разных отраслей, включая госсектор, ИТ, медицину и промышленность.

Атака была реализована через компрометацию серверов обновлений. Вредоносные компоненты подменяли легитимные файлы ERP-системы и незаметно устанавливали на компьютеры клиентов новые трояны удаленного доступа. В результате исследователи обнаружили сразу три ранее неизвестных вредоносных программы: JelusRAT, StarshellRAT и GopherRAT. Эти инструменты позволяют злоумышленникам управлять зараженными системами, красть файлы, делать скриншоты, запускать команды, устанавливать дополнительные модули и выстраивать скрытые каналы связи.

Отчет также показывает, что Andariel активно использует современные техники обхода защиты. В том числе они применяли метод BYOVD, при котором уязвимые драйверы легитимных программ используются для отключения антивирусов и EDR-систем. Это говорит о росте технической сложности атак и стремлении группы действовать максимально незаметно.

По данным WithSecure, Andariel остается одной из самых активных северокорейских кибергруппировок. Хотя ранее ее деятельность была сосредоточена в основном в Южной Корее, теперь атаки фиксируются по всему миру. Цели при этом меняются: от финансовых операций до классического шпионажа и кражи стратегически важной информации. Эксперты отмечают, что группа сочетает новые инструменты со старыми, хорошо отработанными техниками, что делает ее особенно опасной для государственных структур и крупных организаций.