Andariel Criminal Group

Andariel Criminal Group

Andariel Criminal Group er en statsstøttet trusselsaktør, der har vist fortsat fokus på at målrette enheder i Sydkorea. Cyberkriminelle har også vist en økonomisk motiveret side af deres operationer. Tidligere har gruppen direkte målrettet pengeautomater i Sydkorea, mens hackerne i det seneste alvorlige angreb tilskrevet gruppen indsatte en trussel mod ransomware mod et af deres ofre. Det skal bemærkes, at Andarial Criminal Group er udpeget som en undergruppe af Lazarus APT (Advanced Persistent Threat) -gruppen af det koreanske finansielle sikkerhedsinstitut.

Indtil videre har ofrene for Andariel Criminal Group få forbindelser mellem hinanden. Hvert offer har været aktiv i deres respektive vertikaler uden klare links til nogen af de andre målrettede enheder. Infosec-forskere har opdaget ofre for gruppen, der arbejder inden for produktion, medier, byggeri og hjemmenetværkstjeneste.

En kompleks angrebskæde

De operationer, der udføres af Andariel Criminal Group, er fortsat med at udvikle sig og blive mere komplekse. Den seneste observerede kampagne består af flere specialiserede korrupte nyttelast, hver indsat i et separat stadium af angrebet. Hackerne bruger våbeniserede dokumentfiler som en indledende vektor for kompromis. Dokumenterne er designet til at udføre sofistikerede infektionsmetoder, der gør detektering væsentligt sværere. Mens der i de fleste tilfælde blev leveret et våbenmæssigt Microsoft Word-dokument til ofrene, er der også flere tilfælde, hvor Andariel Criminal Group ty til en beskadiget fil forklædt som en PDF-dok. Efter udførelsen leverer dokumenterne anden fase nyttelast - en malware-trussel, der er ansvarlig for at etablere kontakt med Command-and-Control (C2, C&C) serverne og forberede miljøet til den næste nyttelast.

Andet trin malware kan udføre 5 specifikke funktioner i henhold til de kommandoer, den modtager fra C2. Disse inkluderer indstilling af et soveinterval, lagring af modtagne data i en lokal fil, udførelse af de modtagne data via CreateThread () og udførelse af de givne kommandoer enten via WinExec API eller cmd.exe. I den tredje fase af angrebet anvender Andariel Criminal Group en bagdør nyttelast på offerets maskine. Bagdøren udføres interaktivt i operationen og indeholder x64- og x86-versioner. Truslen forsøger at skjule sig som Internet Explorer eller Google Chrome ved hjælp af deres ikoner og tilknyttede filnavne. Tredje fase trussel scanner det kompromitterede system for tegn på et sandkassemiljø. Den kontrollerer for tilstedeværelsen af specifikke moduler, der tilhører Sandboxie og SunBelt SandBox.

På et enkelt offer eskalerede Andariel Criminal Group angrebet ved at droppe en skræddersyet trussel mod ransomware. Malwaren bruger en AES-128 CBC-tilstandsalgoritme til at kryptere alle filer uanset deres størrelse med undtagelse af systemkritiske udvidelser som '.exe', '.dll', '.sys,' '.msiins' og ' .drv. ' Standardudvidelsen tilføjet til de låste filer er '.3nc004', og det er også navnet på den tekstfil, der bærer løsesumnoten. Teksten i noten afslører, at hackerne ønsker at modtage en løsesum betalt i bitcoin, og de tilbyder at dekryptere to filer gratis.

Trending

Indlæser...