קבוצת פלילי אנדריאל

Andriel Criminal Group היא שחקנית איומים בחסות המדינה שהראתה התמקדות מתמשכת במיקוד לישויות הממוקמות בדרום קוריאה. פושעי הסייבר גם הציגו צד בעל מוטיבציה כלכלית לפעילותם. בעבר, הקבוצה פנתה ישירות לכספומטים בדרום קוריאה, בעוד שבתקיפה החמורה האחרונה שיוחסה לקבוצה, ההאקרים פרסו איום של תוכנת כופר לאחד מקורבנותיהם. יצוין כי קבוצת הפשע של Andarial סומנה כתת-קבוצה של קבוצת Lazarus APT (Advanced Persistent Threat) על ידי המכון הקוריאנית לביטחון פיננסי.

עד כה קורבנות קבוצת הפשע אנדריאל מראים מעט קשרים ביניהם. כל קורבן היה פעיל בתחומים שלו, ללא קישורים ברורים לאף אחת מהישויות האחרות הממוקדות. חוקרי Infosec גילו קורבנות של הקבוצה שעובדת במגזרי הייצור, התקשורת, הבנייה ושירותי הרשת הביתית.

שרשרת תקיפה מורכבת

הפעולות שביצעה קבוצת הפשע של אנדריאל המשיכו להתפתח ולהיות מורכבות יותר. הקמפיין האחרון שנצפה מורכב ממספר רב של מטענים פגומים מיוחדים, שכל אחד מהם נפרס בשלב נפרד של המתקפה. ההאקרים משתמשים בקבצי מסמכים המכילים נשק בתור וקטור ראשוני של פשרה. המסמכים נועדו לבצע שיטות זיהום מתוחכמות המקשות על הגילוי בצורה משמעותית. בעוד שברוב המקרים, נמסר לקורבנות מסמך Microsoft Word עם כלי נשק, ישנם גם מספר מקרים שבהם קבוצת הפשע של Andriel פנתה לקובץ פגום במסווה של מסמך PDF. עם הביצוע, המסמכים מספקים את מטען השלב השני - איום תוכנה זדוני שאחראי ליצירת קשר עם שרתי הפקודה והבקרה (C2, C&C) והכנת הסביבה למטען הבא.

התוכנה הזדונית בשלב השני יכולה לבצע 5 פונקציות ספציפיות לפי הפקודות שהיא מקבלת מה-C2. אלה כוללים הגדרת מרווח שינה, שמירת כל הנתונים שהתקבלו בקובץ מקומי, ביצוע הנתונים שהתקבלו באמצעות CreateThread() וביצוע הפקודות הנתונות באמצעות WinExec API או cmd.exe. בשלב השלישי של התקיפה, קבוצת הפשע של אנדריאל פורסת מטען מדלת אחורית על המכונה של הקורבן. הדלת האחורית מבוצעת בפעולה באופן אינטראקטיבי ומכילה גרסאות x64 ו-x86. האיום מנסה להסוות את עצמו כ-Internet Explorer או Google Chrome באמצעות הסמלים שלהם ושמות הקבצים הקשורים אליו. האיום השלב השלישי סורק את המערכת שנפרצה לאיתור סימנים של סביבת ארגז חול. הוא בודק את נוכחותם של מודולים ספציפיים השייכים ל-Sandboxie ול-SunBelt SandBox.

על קורבן יחיד, Andriel Criminal Group הסלימה את המתקפה על ידי הפלת איום תוכנת כופר בהתאמה אישית. התוכנה הזדונית משתמשת באלגוריתם מצב AES-128 CBC כדי להצפין את כל הקבצים ללא קשר לגודלם, למעט הרחבות קריטיות למערכת כגון '.exe,' '.dll', '.sys', '.msiins' ו-' .drv.' סיומת ברירת המחדל שצורפה לקבצים הנעולים היא '.3nc004' וזהו גם השם שניתן לקובץ הטקסט הנושא את שטר הכופר. טקסט ההערה חושף כי ההאקרים רוצים לקבל כופר בתשלום בביטקוין והם מציעים לפענח שני קבצים בחינם.