Престъпна група Andariel

Престъпната група Andariel е спонсориран от държавата заплаха, който демонстрира постоянен фокус върху насочване към субекти, разположени в Южна Корея. Киберпрестъпниците също са показали финансово мотивирана страна в своите операции. Преди това групата е била насочена директно към банкомати в Южна Корея, докато при последната сериозна атака, приписвана на групата, хакерите разположиха заплаха за рансъмуер към една от жертвите си. Трябва да се отбележи, че Andarial Criminal Group е определена като подгрупа на групата Lazarus APT (Advanced Persistent Threat) от Корейския институт за финансова сигурност.

Досега жертвите на престъпната група Andariel показват малко връзки помежду си. Всяка жертва е била активна в съответните си вертикали, без ясни връзки с други целеви субекти. Изследователите на Infosec са открили жертви на групата, работеща в секторите на производството, медиите, строителството и услугите за домашни мрежи.

Сложна верига за атака

Операциите, извършвани от престъпната група Andariel, продължават да се развиват и да стават все по-сложни. Последната наблюдавана кампания се състои от множество специализирани повредени полезни товари, всеки от които е разположен в отделен етап от атаката. Хакерите използват въоръжени документи като начален вектор на компромис. Документите са предназначени да изпълняват сложни методи за заразяване, които значително затрудняват откриването. Докато в повечето случаи на жертвите е доставен въоръжен документ на Microsoft Word, има и няколко случая, в които престъпната група Andariel прибягва до повреден файл, прикрит като PDF документ. След изпълнение документите доставят полезния товар на втория етап - заплаха от злонамерен софтуер, отговорна за установяване на контакт със сървърите за командване и управление (C2, C&C) и подготовка на средата за следващия полезен товар.

Зловредният софтуер от втория етап може да изпълнява 5 специфични функции според командите, които получава от C2. Те включват задаване на интервал на заспиване, запазване на всички получени данни в локален файл, изпълнение на получените данни чрез CreateThread() и изпълнение на дадените команди чрез WinExec API или cmd.exe. В третия етап на атаката престъпната група Andariel разгръща полезен товар на задната врата върху машината на жертвата. Задната врата се изпълнява в операцията интерактивно и съдържа x64 и x86 версии. Заплахата се опитва да се прикрие като Internet Explorer или Google Chrome, като използва техните икони и свързани имена на файлове. Заплахата от третия етап сканира компрометираната система за признаци на среда с пясъчник. Той проверява наличието на специфични модули, принадлежащи на Sandboxie и SunBelt SandBox.

На една-единствена жертва престъпната група Andariel ескалира атаката, пускайки персонализирана заплаха за рансъмуер. Зловредният софтуер използва алгоритъм за режим AES-128 CBC за криптиране на всички файлове, независимо от техния размер, с изключение на критични за системата разширения като „.exe“, „.dll“, „.sys“, „.msiins“ и „ .drv.' Разширението по подразбиране, добавено към заключените файлове, е „.3nc004“ и това също е името, дадено на текстовия файл, съдържащ бележката за откуп. Текстът на бележката разкрива, че хакерите искат да получат откуп, платен в биткойни, и предлагат безплатно дешифриране на два файла.