Grup Criminal Andariel

L'Andariel Criminal Group és un actor d'amenaces patrocinat per l'estat que ha mostrat un enfocament continuat a dirigir-se a entitats ubicades a Corea del Sud. Els ciberdelinqüents també han mostrat un costat econòmicament motivat a les seves operacions. Anteriorment, el grup s'havia dirigit directament als caixers automàtics de Corea del Sud, mentre que en l'últim atac greu atribuït al grup, els pirates informàtics van desplegar una amenaça de ransomware a una de les seves víctimes. Cal destacar que l'Andarial Criminal Group ha estat designat com a subgrup del grup Lazarus APT (Advanced Persistent Threat) per l'Institut coreà de seguretat financera.

Fins ara les víctimes del Grup Criminal Andariel mostren poques connexions entre elles. Cada víctima ha estat activa en les seves respectives verticals, sense enllaços clars amb cap de les altres entitats objectiu. Els investigadors d'Infosec han descobert víctimes del grup que treballa en els sectors de la fabricació, els mitjans de comunicació, la construcció i els serveis de xarxes domèstiques.

Una cadena d'atac complexa

Les operacions que duu a terme el Grup Penal Andariel han anat evolucionant i es van fent més complexes. L'última campanya observada consta de múltiples càrregues útils danyades especialitzades, cadascuna desplegada en una etapa independent de l'atac. Els pirates informàtics utilitzen fitxers de documents armats com a vector inicial de compromís. Els documents estan dissenyats per dur a terme mètodes d'infecció sofisticats que dificulten significativament la detecció. Tot i que en la majoria dels casos, es va lliurar a les víctimes un document de Microsoft Word armat, també hi ha diversos casos en què el Grup Criminal Andariel va recórrer a un fitxer corrupte disfressat com a document PDF. Un cop s'executen, els documents proporcionen la càrrega útil de la segona fase: una amenaça de programari maliciós responsable d'establir contacte amb els servidors de comandament i control (C2, C&C) i preparar l'entorn per a la següent càrrega útil.

El programari maliciós de segona etapa pot realitzar 5 funcions específiques segons les ordres que rep del C2. Aquests inclouen establir un interval de repòs, desar les dades rebudes en un fitxer local, executar les dades rebudes mitjançant CreateThread() i executar les ordres donades mitjançant l'API WinExec o cmd.exe. En la tercera etapa de l'atac, el Grup Criminal Andariel desplega una càrrega útil de la porta del darrere a la màquina de la víctima. La porta del darrere s'executa en l'operació de manera interactiva i conté versions x64 i x86. L'amenaça intenta disfressar-se d'Internet Explorer o Google Chrome utilitzant les seves icones i els noms de fitxers associats. L'amenaça de la tercera etapa escaneja el sistema compromès a la recerca de signes d'un entorn sandbox. Comprova la presència de mòduls específics pertanyents a Sandboxie i SunBelt SandBox.

En una sola víctima, el Grup Criminal Andariel va intensificar l'atac deixant caure una amenaça de ransomware personalitzada. El programari maliciós utilitza un algorisme en mode CBC AES-128 per xifrar tots els fitxers independentment de la seva mida, a excepció d'extensions crítiques per al sistema com ara ".exe", ".dll", ".sys", ".msiins" i ". .drv.' L'extensió predeterminada que s'afegeix als fitxers bloquejats és ".3nc004" i aquest és també el nom que es dóna al fitxer de text que porta la nota de rescat. El text de la nota revela que els pirates informàtics volen rebre un rescat pagat en bitcoins i ofereixen desxifrar dos fitxers de forma gratuïta.