Zločinecká skupina Andariel

Andariel Criminal Group je státem podporovaný aktér hrozeb, který se neustále zaměřuje na zacílení na subjekty umístěné v Jižní Koreji. Kyberzločinci také projevili finančně motivovanou stránku svých operací. Dříve se skupina zaměřovala přímo na bankomaty v Jižní Koreji, zatímco při posledním vážném útoku připisovaném skupině hackeři nasadili hrozbu ransomwaru jedné ze svých obětí. Je třeba poznamenat, že skupina Andarial Criminal Group byla korejským institutem finanční bezpečnosti označena jako podskupina skupiny Lazarus APT (Advanced Persistent Threat).

Oběti zločinecké skupiny Andariel zatím mezi sebou vykazují jen malé spojení. Každá oběť byla aktivní ve svých příslušných odvětvích, aniž by měla jasné vazby na jakoukoli jinou cílovou entitu. Výzkumníci společnosti Infosec objevili oběti skupiny pracující ve výrobě, médiích, stavebnictví a v sektorech domácích síťových služeb.

Komplexní útočný řetězec

Operace prováděné skupinou Andariel Criminal Group se nadále vyvíjejí a jsou stále složitější. Poslední pozorovaná kampaň se skládá z několika specializovaných poškozených nákladu, z nichž každý je nasazen v samostatné fázi útoku. Hackeři používají soubory dokumentů se zbraněmi jako počáteční vektor kompromisu. Dokumenty jsou navrženy tak, aby prováděly sofistikované metody infekce, které výrazně ztěžují detekci. Zatímco ve většině případů byl obětem doručen zbraňový dokument Microsoft Word, existuje také několik případů, kdy se Andariel Criminal Group uchýlila k poškozenému souboru maskovanému jako dokument PDF. Po spuštění dokumenty doručí užitečné zatížení druhé fáze – malwarovou hrozbu zodpovědnou za navázání kontaktu se servery Command-and-Control (C2, C&C) a přípravu prostředí na další užitečné zatížení.

Malware druhé fáze může provádět 5 specifických funkcí podle příkazů, které obdrží z C2. Mezi ně patří nastavení intervalu spánku, ukládání přijatých dat do lokálního souboru, provádění přijatých dat pomocí CreateThread() a provádění daných příkazů buď přes WinExec API nebo cmd.exe. Ve třetí fázi útoku Andariel Criminal Group nasadí zadní vrátka na stroj oběti. Backdoor se v provozu provádí interaktivně a obsahuje verze x64 a x86. Hrozba se pokouší maskovat jako Internet Explorer nebo Google Chrome pomocí jejich ikon a souvisejících názvů souborů. Hrozba třetí fáze prohledává kompromitovaný systém, zda neobsahuje známky izolovaného prostředí. Kontroluje přítomnost konkrétních modulů patřících Sandboxie a SunBelt SandBox.

Na jedinou oběť Andariel Criminal Group eskalovala útok tím, že upustila od zakázkově vyrobené hrozby ransomwaru. Malware používá algoritmus režimu CBC AES-128 k šifrování všech souborů bez ohledu na jejich velikost s výjimkou systémových rozšíření, jako jsou „.exe“, „.dll“, „.sys“, „.msiins“ a „. .drv.' Výchozí přípona připojená k uzamčeným souborům je '.3nc004' a to je také název textového souboru obsahujícího výkupné. Text poznámky prozrazuje, že hackeři chtějí dostat výkupné zaplacené v bitcoinech a nabízejí zdarma dešifrování dvou souborů.