Andarieli kuritegelik rühmitus
Andarieli kuritegelik rühmitus on riiklikult rahastatud ohus osaleja, kes on jätkuvalt keskendunud Lõuna-Koreas asuvate üksuste sihikule. Küberkurjategijad on näidanud oma tegevuses ka rahaliselt motiveeritud külge. Varem on rühmitus võtnud sihikule otse Lõuna-Korea sularahaautomaate, samas kui viimases grupile omistatud tõsises rünnakus saatsid häkkerid ühele oma ohvrile lunavaraohu. Tuleb märkida, et Korea finantsjulgeoleku instituut on Andariali kuritegeliku grupi määranud Lazaruse APT (Advanced Persistent Threat) rühma alarühmaks.
Seni on Andarieli kuritegeliku grupeeringu ohvrid omavahel vähe seotud. Iga ohver on olnud aktiivne oma vastavatel aladel, ilma selgete seosteta ühegi teise sihitud üksusega. Infoseci teadlased on avastanud tootmis-, meedia-, ehitus- ja koduvõrguteenuste sektorites töötava rühma ohvreid.
Keeruline rünnakuahel
Andarieli kuritegeliku grupi operatsioonid on jätkuvalt arenenud ja muutunud keerukamaks. Viimane vaadeldud kampaania koosneb mitmest spetsiaalsest rikutud kasulikust koormast, millest igaüks on paigutatud rünnaku eraldi etappi. Häkkerid kasutavad esialgse kompromissivektorina relvastatud dokumendifaile. Dokumendid on loodud keerukate nakkusmeetodite rakendamiseks, mis muudavad tuvastamise oluliselt raskemaks. Kuigi enamikul juhtudel toimetati ohvritele relvastatud Microsoft Wordi dokument, on ka mitmeid juhtumeid, kus Andarieli kuritegelik rühmitus kasutas rikutud faili, mis oli maskeeritud PDF-dokumendiks. Täitmisel edastavad dokumendid teise etapi kasuliku koormuse - pahavara ohu, mis vastutab Command-and-Control (C2, C&C) serveritega kontakti loomise ja keskkonna ettevalmistamise eest järgmiseks koormuseks.
Teise astme pahavara suudab vastavalt C2-lt saadavatele käskudele täita 5 kindlat funktsiooni. Nende hulka kuuluvad unerežiimi intervalli seadmine, vastuvõetud andmete salvestamine kohalikku faili, vastuvõetud andmete täitmine CreateThread() ja antud käskude täitmine kas WinExec API või cmd.exe kaudu. Rünnaku kolmandas etapis rakendab Andarieli kuritegelik rühmitus ohvri masinale tagaukse kasuliku koorma. Tagauks täidetakse operatsioonis interaktiivselt ja sisaldab x64 ja x86 versioone. Oht üritab maskeerida end Internet Exploreriks või Google Chrome'iks, kasutades nende ikoone ja seotud failinimesid. Kolmanda etapi oht skannib ohustatud süsteemi liivakastikeskkonna märkide leidmiseks. See kontrollib konkreetsete Sandboxie ja SunBelt SandBoxi moodulite olemasolu.
Andarieli kuritegelik rühmitus suurendas ühe ohvri puhul rünnakut, loobudes eritellimusel valmistatud lunavaraohust. Pahavara kasutab AES-128 CBC režiimi algoritmi, et krüpteerida kõik failid, olenemata nende suurusest, välja arvatud süsteemikriitilised laiendused, nagu ".exe", ".dll", ".sys", ".msiins" ja " .drv.' Lukustatud failidele lisatud vaikelaiend on '.3nc004' ja see on ka lunarahakirja kandva tekstifaili nimi. Märkme tekstist selgub, et häkkerid soovivad saada bitcoinis makstud lunaraha ja nad pakuvad tasuta kahe faili dekrüpteerimist.
