Εγκληματική ομάδα Andariel

Εγκληματική ομάδα Andariel Περιγραφή

Η Εγκληματική Ομάδα Andariel είναι ένας κρατικός φορέας απειλών που έχει δείξει συνεχή εστίαση στη στόχευση οντοτήτων που βρίσκονται στη Νότια Κορέα. Οι κυβερνοεγκληματίες έχουν επίσης επιδείξει μια πλευρά με οικονομικά κίνητρα στις δραστηριότητές τους. Προηγουμένως, η ομάδα είχε στοχεύσει απευθείας ΑΤΜ στη Νότια Κορέα, ενώ στην τελευταία σοβαρή επίθεση που αποδόθηκε στην ομάδα, οι χάκερ ανέπτυξαν μια απειλή ransomware σε ένα από τα θύματά τους. Να σημειωθεί ότι η ομάδα Andarial Criminal Group έχει οριστεί ως υποομάδα της ομάδας Lazarus APT (Advanced Persistent Threat) από το Κορεατικό Ινστιτούτο Οικονομικής Ασφάλειας.

Μέχρι στιγμής τα θύματα της εγκληματικής ομάδας Andariel δείχνουν ελάχιστες σχέσεις μεταξύ τους. Κάθε θύμα ήταν ενεργό στους αντίστοιχους κλάδους του, χωρίς σαφείς συνδέσμους με καμία από τις άλλες στοχευμένες οντότητες. Οι ερευνητές της Infosec ανακάλυψαν θύματα της ομάδας που εργάζονται στους τομείς της κατασκευής, των μέσων ενημέρωσης, των κατασκευών και των υπηρεσιών οικιακών δικτύων.

Μια σύνθετη αλυσίδα επίθεσης

Οι επιχειρήσεις που πραγματοποιούνται από την Εγκληματική Ομάδα Andariel συνέχισαν να εξελίσσονται και να γίνονται πιο περίπλοκες. Η πιο πρόσφατη καμπάνια που παρατηρήθηκε αποτελείται από πολλά εξειδικευμένα κατεστραμμένα ωφέλιμα φορτία, το καθένα από τα οποία αναπτύσσεται σε ξεχωριστό στάδιο της επίθεσης. Οι χάκερ χρησιμοποιούν οπλισμένα αρχεία εγγράφων ως αρχικό φορέα συμβιβασμού. Τα έγγραφα έχουν σχεδιαστεί για να πραγματοποιούν εξελιγμένες μεθόδους μόλυνσης που κάνουν την ανίχνευση πολύ πιο δύσκολη. Ενώ στις περισσότερες περιπτώσεις, ένα οπλισμένο έγγραφο του Microsoft Word παραδόθηκε στα θύματα, υπάρχουν επίσης αρκετές περιπτώσεις όπου η εγκληματική ομάδα Andariel κατέφυγε σε ένα κατεστραμμένο αρχείο μεταμφιεσμένο σε έγγραφο PDF. Κατά την εκτέλεση, τα έγγραφα παραδίδουν το ωφέλιμο φορτίο δεύτερου σταδίου - μια απειλή κακόβουλου λογισμικού που είναι υπεύθυνη για τη δημιουργία επαφής με τους διακομιστές Command-and-Control (C2, C&C) και την προετοιμασία του περιβάλλοντος για το επόμενο ωφέλιμο φορτίο.

Το κακόβουλο λογισμικό δεύτερου σταδίου μπορεί να εκτελέσει 5 συγκεκριμένες λειτουργίες σύμφωνα με τις εντολές που λαμβάνει από το C2. Αυτά περιλαμβάνουν τον ορισμό ενός διαστήματος αναστολής λειτουργίας, την αποθήκευση τυχόν ληφθέντων δεδομένων σε ένα τοπικό αρχείο, την εκτέλεση των ληφθέντων δεδομένων μέσω του CreateThread() και την εκτέλεση των δεδομένων εντολών είτε μέσω WinExec API είτε μέσω cmd.exe. Στο τρίτο στάδιο της επίθεσης, η Εγκληματική Ομάδα Andariel αναπτύσσει ένα ωφέλιμο φορτίο backdoor στη μηχανή του θύματος. Το backdoor εκτελείται στη λειτουργία διαδραστικά και περιέχει εκδόσεις x64 και x86. Η απειλή επιχειρεί να μεταμφιεστεί ως Internet Explorer ή Google Chrome χρησιμοποιώντας τα εικονίδια τους και τα σχετικά ονόματα αρχείων. Η απειλή τρίτου σταδίου σαρώνει το παραβιασμένο σύστημα για σημάδια περιβάλλοντος sandbox. Ελέγχει για την παρουσία συγκεκριμένων μονάδων που ανήκουν στο Sandboxie και στο SunBelt SandBox.

Σε ένα μόνο θύμα, η Εγκληματική Ομάδα Andariel κλιμάκωσε την επίθεση απορρίπτοντας μια εξατομικευμένη απειλή ransomware. Το κακόβουλο λογισμικό χρησιμοποιεί έναν αλγόριθμο λειτουργίας AES-128 CBC για την κρυπτογράφηση όλων των αρχείων ανεξάρτητα από το μέγεθός τους, με εξαίρεση τις επεκτάσεις που είναι κρίσιμες για το σύστημα, όπως ".exe", ".dll", ".sys", ".msiins" και " .drv.' Η προεπιλεγμένη επέκταση που προσαρτάται στα κλειδωμένα αρχεία είναι «.3nc004» και αυτό είναι επίσης το όνομα που δίνεται στο αρχείο κειμένου που φέρει τη σημείωση λύτρων. Το κείμενο του σημειώματος αποκαλύπτει ότι οι χάκερ θέλουν να λάβουν λύτρα που πληρώνονται σε bitcoin και προσφέρουν να αποκρυπτογραφήσουν δύο αρχεία δωρεάν.