گروه جنایی اندریل
گروه جنایی Andariel یک بازیگر تهدید تحت حمایت دولت است که تمرکز مداوم خود را بر هدف قرار دادن نهادهای واقع در کره جنوبی نشان داده است. مجرمان سایبری همچنین جنبه مالی با انگیزه عملیات خود را نشان داده اند. پیش از این، این گروه مستقیماً دستگاه های خودپرداز در کره جنوبی را هدف قرار داده بود، در حالی که در آخرین حمله جدی منتسب به این گروه، هکرها تهدید باج افزاری را برای یکی از قربانیان خود به کار گرفتند. لازم به ذکر است که گروه جنایی Andarial به عنوان زیر گروه Lazarus APT (تهدید پایدار پیشرفته) توسط موسسه امنیت مالی کره تعیین شده است.
تا کنون قربانیان گروه جنایی اندریل ارتباط کمی بین یکدیگر نشان داده اند. هر قربانی در عمودی مربوط به خود فعال بوده است، بدون پیوندهای واضح به هیچ یک از نهادهای هدف دیگر. محققان Infosec قربانیان این گروه را که در بخشهای تولید، رسانه، ساختوساز و خدمات شبکه خانگی کار میکنند، کشف کردهاند.
یک زنجیره حمله پیچیده
عملیات انجام شده توسط گروه جنایی اندریل به پیشرفت و پیچیده تر شدن ادامه داده است. آخرین کمپین مشاهده شده شامل چندین بار اختصاصی خراب است که هر کدام در مرحله جداگانه ای از حمله مستقر شده اند. هکرها از فایلهای اسناد تسلیحاتی بهعنوان بردار اولیه سازش استفاده میکنند. این اسناد برای انجام روش های پیچیده عفونت طراحی شده اند که تشخیص را به میزان قابل توجهی سخت تر می کند. در حالی که در بیشتر موارد، یک سند مایکروسافت ورد مسلح شده به قربانیان تحویل داده می شد، موارد متعددی نیز وجود دارد که گروه جنایی Andariel به یک فایل خراب که به عنوان یک سند PDF مبدل شده بود متوسل شد. پس از اجرا، اسناد مرحله دوم را تحویل می دهند - یک تهدید بدافزار که مسئول برقراری تماس با سرورهای Command-and-Control (C2, C&C) و آماده سازی محیط برای بار بعدی است.
بدافزار مرحله دوم می تواند 5 عملکرد خاص را طبق دستوراتی که از C2 دریافت می کند انجام دهد. اینها شامل تنظیم یک بازه Sleep، ذخیره هر داده دریافتی در یک فایل محلی، اجرای داده های دریافتی از طریق CreateThread() و اجرای دستورات داده شده از طریق WinExec API یا cmd.exe است. در مرحله سوم حمله، گروه جنایی Andariel یک محموله درب پشتی را روی دستگاه قربانی مستقر می کند. درب پشتی در عملیات به صورت تعاملی اجرا می شود و شامل نسخه های x64 و x86 می باشد. این تهدید سعی می کند با استفاده از نمادها و نام فایل های مرتبط، خود را به عنوان Internet Explorer یا Google Chrome پنهان کند. تهدید مرحله سوم، سیستم آسیبدیده را برای نشانههایی از محیط sandbox اسکن میکند. وجود ماژول های خاص متعلق به Sandboxie و SunBelt SandBox را بررسی می کند.
در مورد یک قربانی، گروه جنایی Andariel با حذف یک تهدید باج افزار سفارشی، حمله را تشدید کرد. این بدافزار از الگوریتم حالت AES-128 CBC برای رمزگذاری همه فایلها صرف نظر از اندازه آنها استفاده میکند، به استثنای پسوندهای حیاتی سیستم مانند «.exe»، «.dll»، «.sys»، «.msiins» و «. .drv.' پسوند پیشفرض اضافهشده به فایلهای قفلشده «.3nc004» است و این نامی است که به فایل متنی حاوی یادداشت باج داده شده است. متن یادداشت نشان میدهد که هکرها میخواهند باجای را دریافت کنند که به بیتکوین پرداخت میشود و پیشنهاد میکنند دو فایل را به صورت رایگان رمزگشایی کنند.