گروه جنایی اندریل

گروه جنایی اندریل Description

گروه جنایی Andariel یک بازیگر تهدید تحت حمایت دولت است که تمرکز مداوم خود را بر هدف قرار دادن نهادهای واقع در کره جنوبی نشان داده است. مجرمان سایبری همچنین جنبه مالی با انگیزه عملیات خود را نشان داده اند. پیش از این، این گروه مستقیماً دستگاه های خودپرداز در کره جنوبی را هدف قرار داده بود، در حالی که در آخرین حمله جدی منتسب به این گروه، هکرها تهدید باج افزاری را برای یکی از قربانیان خود به کار گرفتند. لازم به ذکر است که گروه جنایی Andarial به عنوان زیر گروه Lazarus APT (تهدید پایدار پیشرفته) توسط موسسه امنیت مالی کره تعیین شده است.

تا کنون قربانیان گروه جنایی اندریل ارتباط کمی بین یکدیگر نشان داده اند. هر قربانی در عمودی مربوط به خود فعال بوده است، بدون پیوندهای واضح به هیچ یک از نهادهای هدف دیگر. محققان Infosec قربانیان این گروه را که در بخش‌های تولید، رسانه، ساخت‌وساز و خدمات شبکه خانگی کار می‌کنند، کشف کرده‌اند.

یک زنجیره حمله پیچیده

عملیات انجام شده توسط گروه جنایی اندریل به پیشرفت و پیچیده تر شدن ادامه داده است. آخرین کمپین مشاهده شده شامل چندین بار اختصاصی خراب است که هر کدام در مرحله جداگانه ای از حمله مستقر شده اند. هکرها از فایل‌های اسناد تسلیحاتی به‌عنوان بردار اولیه سازش استفاده می‌کنند. این اسناد برای انجام روش های پیچیده عفونت طراحی شده اند که تشخیص را به میزان قابل توجهی سخت تر می کند. در حالی که در بیشتر موارد، یک سند مایکروسافت ورد مسلح شده به قربانیان تحویل داده می شد، موارد متعددی نیز وجود دارد که گروه جنایی Andariel به یک فایل خراب که به عنوان یک سند PDF مبدل شده بود متوسل شد. پس از اجرا، اسناد مرحله دوم را تحویل می دهند - یک تهدید بدافزار که مسئول برقراری تماس با سرورهای Command-and-Control (C2, C&C) و آماده سازی محیط برای بار بعدی است.

بدافزار مرحله دوم می تواند 5 عملکرد خاص را طبق دستوراتی که از C2 دریافت می کند انجام دهد. اینها شامل تنظیم یک بازه Sleep، ذخیره هر داده دریافتی در یک فایل محلی، اجرای داده های دریافتی از طریق CreateThread() و اجرای دستورات داده شده از طریق WinExec API یا cmd.exe است. در مرحله سوم حمله، گروه جنایی Andariel یک محموله درب پشتی را روی دستگاه قربانی مستقر می کند. درب پشتی در عملیات به صورت تعاملی اجرا می شود و شامل نسخه های x64 و x86 می باشد. این تهدید سعی می کند با استفاده از نمادها و نام فایل های مرتبط، خود را به عنوان Internet Explorer یا Google Chrome پنهان کند. تهدید مرحله سوم، سیستم آسیب‌دیده را برای نشانه‌هایی از محیط sandbox اسکن می‌کند. وجود ماژول های خاص متعلق به Sandboxie و SunBelt SandBox را بررسی می کند.

در مورد یک قربانی، گروه جنایی Andariel با حذف یک تهدید باج افزار سفارشی، حمله را تشدید کرد. این بدافزار از الگوریتم حالت AES-128 CBC برای رمزگذاری همه فایل‌ها صرف نظر از اندازه آنها استفاده می‌کند، به استثنای پسوندهای حیاتی سیستم مانند «.exe»، «.dll»، «.sys»، «.msiins» و «. .drv.' پسوند پیش‌فرض اضافه‌شده به فایل‌های قفل‌شده «.3nc004» است و این نامی است که به فایل متنی حاوی یادداشت باج داده شده است. متن یادداشت نشان می‌دهد که هکرها می‌خواهند باج‌ای را دریافت کنند که به بیت‌کوین پرداخت می‌شود و پیشنهاد می‌کنند دو فایل را به صورت رایگان رمزگشایی کنند.