مجموعة أندارييل الجنائية

Andariel Criminal Group هي جهة تهديد ترعاها الدولة أظهرت تركيزًا مستمرًا على استهداف الكيانات الموجودة في كوريا الجنوبية. أظهر مجرمو الإنترنت أيضًا جانبًا مدفوعًا بالدوافع المالية لعملياتهم. في السابق ، استهدفت المجموعة أجهزة الصراف الآلي في كوريا الجنوبية بشكل مباشر ، بينما في أحدث هجوم خطير منسوب إلى المجموعة ، نشر المتسللون تهديدًا ببرنامج الفدية على أحد ضحاياهم. وتجدر الإشارة إلى أن مجموعة Andarial الإجرامية قد تم تصنيفها كمجموعة فرعية من مجموعة Lazarus APT (التهديد المستمر المتقدم) من قبل معهد الأمن المالي الكوري.

حتى الآن ، يظهر ضحايا مجموعة Andariel الإجرامية القليل من الروابط بين بعضهم البعض. كان كل ضحية نشطًا في مجالات تخصصه ، دون روابط واضحة بأي من الكيانات المستهدفة الأخرى. اكتشف باحثو Infosec ضحايا المجموعة العاملة في قطاعات خدمات التصنيع والإعلام والبناء والشبكة المنزلية.

سلسلة هجوم معقدة

استمرت العمليات التي نفذتها جماعة أندارييل الإجرامية في التطور وأصبحت أكثر تعقيدًا. تتكون أحدث حملة تمت ملاحظتها من عدة حمولات تالفة متخصصة ، تم نشر كل منها في مرحلة منفصلة من الهجوم. يستخدم المتسللون ملفات المستندات المُسلَّحة كأداة توجيه أولية للتسوية. تم تصميم المستندات لتنفيذ طرق إصابة معقدة تجعل الكشف أكثر صعوبة. بينما في معظم الحالات ، تم تسليم مستند Microsoft Word كسلاح إلى الضحايا ، هناك أيضًا العديد من الحالات التي لجأت فيها Andariel Criminal Group إلى ملف تالف متنكر في شكل مستند PDF. عند التنفيذ ، تسلم المستندات حمولة المرحلة الثانية - تهديد البرامج الضارة المسؤول عن إنشاء اتصال بخوادم القيادة والتحكم (C2 ، C&C) وإعداد البيئة للحمولة التالية.

يمكن أن تؤدي البرامج الضارة في المرحلة الثانية 5 وظائف محددة وفقًا للأوامر التي تتلقاها من C2. يتضمن ذلك تعيين فترة السكون وحفظ أي بيانات مستلمة في ملف محلي وتنفيذ البيانات المستلمة عبر CreateThread () وتنفيذ الأوامر المعينة إما عبر WinExec API أو cmd.exe. في المرحلة الثالثة من الهجوم ، تنشر مجموعة Andariel الإجرامية حمولة باب خلفي على آلة الضحية. يتم تنفيذ الباب الخلفي في العملية بشكل تفاعلي ويحتوي على إصدارات x64 و x86. يحاول التهديد إخفاء نفسه باسم Internet Explorer أو Google Chrome باستخدام الرموز وأسماء الملفات المرتبطة بهما. يفحص تهديد المرحلة الثالثة النظام المخترق بحثًا عن علامات على بيئة وضع الحماية. يتحقق من وجود وحدات معينة تنتمي إلى Sandboxie و SunBelt SandBox.

على ضحية واحدة ، صعدت مجموعة Andariel الإجرامية الهجوم بإسقاط تهديد برنامج الفدية المصنوع حسب الطلب. تستخدم البرامج الضارة خوارزمية وضع AES-128 CBC لتشفير جميع الملفات بغض النظر عن حجمها باستثناء الامتدادات المهمة للنظام مثل ".exe و" .dll و ".sys" و ".msiins" و " .drv. ' الامتداد الافتراضي المُلحق بالملفات المقفلة هو ".3nc004" وهذا أيضًا هو الاسم المعطى للملف النصي الذي يحمل مذكرة الفدية. يكشف نص المذكرة أن المتسللين يريدون الحصول على فدية مدفوعة بعملة البيتكوين ويعرضون فك تشفير ملفين مجانًا.