Andariel Criminal Group
Andariel Criminal Group on valtion tukema uhkatoimija, joka on osoittanut jatkuvaa keskittymistä Etelä-Koreassa sijaitsevien yksiköiden kohdistamiseen. Kyberrikolliset ovat myös osoittaneet toiminnassaan taloudellisesti motivoituneen puolen. Aiemmin ryhmä on kohdistanut suoraan Etelä-Korean pankkiautomaatteihin, kun taas viimeisimmässä ryhmästä johtuvassa vakavassa hyökkäyksessä hakkerit asettivat lunnasohjelmauhan yhdelle uhrilleen. On huomattava, että Korean Financial Security Institute on nimennyt Andarial Criminal Groupin Lazarus APT (Advanced Persistent Threat) -ryhmän alaryhmäksi.
Toistaiseksi Andariel Criminal Groupin uhrit osoittavat vain vähän yhteyksiä keskenään. Jokainen uhri on ollut aktiivinen omilla toimialoillaan ilman selkeitä linkkejä muihin kohteena oleviin tahoihin. Infosecin tutkijat ovat löytäneet ryhmän uhreja, jotka työskentelevät valmistus-, media-, rakennus- ja kotiverkkopalvelusektoreilla.
Monimutkainen hyökkäysketju
Andariel Criminal Groupin operaatiot ovat jatkuvasti kehittyneet ja monimutkaistuneet. Viimeisin havaittu kampanja koostuu useista erikoistuneista vioittuneista hyötykuormista, joista jokainen on sijoitettu hyökkäyksen erillisessä vaiheessa. Hakkerit käyttävät aseistettuja dokumenttitiedostoja kompromissin alkuvektorina. Asiakirjat on suunniteltu suorittamaan kehittyneitä infektiomenetelmiä, jotka vaikeuttavat havaitsemista merkittävästi. Vaikka useimmissa tapauksissa uhreille toimitettiin aseellinen Microsoft Word -asiakirja, on myös useita tapauksia, joissa Andariel Criminal Group turvautui vioittuun tiedostoon, joka oli naamioitu PDF-dokumentiksi. Suorituksen yhteydessä asiakirjat toimittavat toisen vaiheen hyötykuorman - haittaohjelmauhan, joka vastaa yhteyden muodostamisesta Command-and-Control (C2, C&C) palvelimiin ja ympäristön valmistelemisesta seuraavaa hyötykuormaa varten.
Toisen vaiheen haittaohjelma voi suorittaa 5 erityistä toimintoa C2:lta saamiensa komentojen mukaan. Näitä ovat lepovälin asettaminen, vastaanotettujen tietojen tallentaminen paikalliseen tiedostoon, vastaanotettujen tietojen suorittaminen CreateThread()-toiminnolla ja annettujen komentojen suorittaminen joko WinExec API:n tai cmd.exe:n kautta. Hyökkäyksen kolmannessa vaiheessa Andariel Criminal Group asettaa takaoven hyötykuorman uhrin koneelle. Takaovi suoritetaan operaatiossa interaktiivisesti ja sisältää x64- ja x86-versiot. Uhka yrittää naamioitua Internet Exploreriksi tai Google Chromeksi käyttämällä niiden kuvakkeita ja niihin liittyviä tiedostonimiä. Kolmannen vaiheen uhka etsii vaarantuneesta järjestelmästä merkkejä hiekkalaatikkoympäristöstä. Se tarkistaa tiettyjen Sandboxielle ja SunBelt SandBoxiin kuuluvien moduulien olemassaolon.
Yhtä uhria vastaan Andariel Criminal Group laajensi hyökkäystä pudottamalla räätälöidyn kiristysohjelmauhan. Haittaohjelma käyttää AES-128 CBC -moodialgoritmia salatakseen kaikki tiedostot niiden koosta riippumatta, lukuun ottamatta järjestelmäkriittisiä laajennuksia, kuten '.exe,' '.dll', '.sys', '.msiins' ja ' .drv.' Lukittujen tiedostojen oletustunniste on '.3nc004', ja se on myös lunnaita sisältävän tekstitiedoston nimi. Muistiinpanon teksti paljastaa, että hakkerit haluavat saada lunnaita, jotka maksetaan bitcoineina, ja he tarjoavat kahden tiedoston salauksen purkamista ilmaiseksi.
