Andariel आपराधिक समूह

एंडारियल क्रिमिनल ग्रुप एक राज्य-प्रायोजित खतरा अभिनेता है जिसने दक्षिण कोरिया में स्थित संस्थाओं को लक्षित करने पर निरंतर ध्यान केंद्रित किया है। साइबर अपराधियों ने भी अपने कार्यों के लिए आर्थिक रूप से प्रेरित पक्ष प्रदर्शित किया है। पहले, समूह ने सीधे दक्षिण कोरिया में एटीएम को निशाना बनाया, जबकि समूह के लिए जिम्मेदार नवीनतम गंभीर हमले में, हैकर्स ने अपने पीड़ितों में से एक को रैंसमवेयर की धमकी दी। यह ध्यान दिया जाना चाहिए कि कोरियाई वित्तीय सुरक्षा संस्थान द्वारा एंडारियल क्रिमिनल ग्रुप को लाजर एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह के उप-समूह के रूप में नामित किया गया है।

अब तक एंडारियल क्रिमिनल ग्रुप के पीड़ित एक-दूसरे के बीच बहुत कम संबंध दिखाते हैं। प्रत्येक पीड़ित अपने संबंधित कार्यक्षेत्र में सक्रिय रहा है, बिना किसी अन्य लक्षित संस्थाओं के स्पष्ट लिंक के। इन्फोसेक के शोधकर्ताओं ने निर्माण, मीडिया, निर्माण और घरेलू नेटवर्क सेवा क्षेत्रों में काम करने वाले समूह के पीड़ितों की खोज की है।

एक जटिल हमला श्रृंखला

एंडारियल क्रिमिनल ग्रुप द्वारा किए गए ऑपरेशन लगातार विकसित होते रहे हैं और अधिक जटिल होते गए हैं। नवीनतम देखे गए अभियान में कई विशिष्ट भ्रष्ट पेलोड शामिल हैं, प्रत्येक को हमले के एक अलग चरण में तैनात किया गया है। हैकर्स समझौता के प्रारंभिक वेक्टर के रूप में हथियारयुक्त दस्तावेज़ फ़ाइलों का उपयोग करते हैं। दस्तावेज़ों को परिष्कृत संक्रमण विधियों को पूरा करने के लिए डिज़ाइन किया गया है जो पहचान को काफी कठिन बनाते हैं। जबकि ज्यादातर मामलों में, पीड़ितों को एक हथियारयुक्त माइक्रोसॉफ्ट वर्ड दस्तावेज़ दिया गया था, ऐसे कई उदाहरण भी हैं जहां एंडारियल क्रिमिनल ग्रुप ने पीडीएफ दस्तावेज़ के रूप में प्रच्छन्न एक भ्रष्ट फ़ाइल का सहारा लिया। निष्पादन के बाद, दस्तावेज़ दूसरे चरण का पेलोड प्रदान करते हैं - एक मैलवेयर खतरा जो कमांड-एंड-कंट्रोल (C2, C & C) सर्वर के साथ संपर्क स्थापित करने और अगले पेलोड के लिए वातावरण तैयार करने के लिए जिम्मेदार है।

दूसरे चरण का मैलवेयर C2 से प्राप्त होने वाले आदेशों के अनुसार 5 विशिष्ट कार्य कर सकता है। इनमें स्लीप इंटरवल सेट करना, किसी भी प्राप्त डेटा को स्थानीय फ़ाइल में सहेजना, प्राप्त डेटा को CreateThread () के माध्यम से निष्पादित करना, और दिए गए कमांड को WinExec API या cmd.exe के माध्यम से निष्पादित करना शामिल है। हमले के तीसरे चरण में, एंडारियल क्रिमिनल ग्रुप पीड़ित की मशीन पर पिछले दरवाजे से पेलोड लगाता है। पिछले दरवाजे को ऑपरेशन में अंतःक्रियात्मक रूप से निष्पादित किया जाता है और इसमें x64 और x86 संस्करण होते हैं। यह खतरा इंटरनेट एक्सप्लोरर या Google क्रोम के रूप में उनके आइकन और संबंधित फ़ाइल नामों का उपयोग करके खुद को छिपाने का प्रयास करता है। तीसरे चरण का खतरा सैंडबॉक्स वातावरण के संकेतों के लिए समझौता किए गए सिस्टम को स्कैन करता है। यह सैंडबॉक्सी और सनबेल्ट सैंडबॉक्स से संबंधित विशिष्ट मॉड्यूल की उपस्थिति की जांच करता है।

एक एकल शिकार पर, एंडारियल क्रिमिनल ग्रुप ने कस्टम-निर्मित रैंसमवेयर खतरे को छोड़ कर हमले को बढ़ा दिया। मैलवेयर '.exe,' '.dll,' '.sys,' '.msiins,' और ' जैसे सिस्टम-क्रिटिकल एक्सटेंशन के अपवाद के साथ सभी फ़ाइलों को उनके आकार की परवाह किए बिना एन्क्रिप्ट करने के लिए AES-128 CBC मोड एल्गोरिथम का उपयोग करता है। .drv.' लॉक की गई फ़ाइलों में जोड़ा गया डिफ़ॉल्ट एक्सटेंशन '.3nc004' है और यह फिरौती नोट ले जाने वाली टेक्स्ट फ़ाइल को दिया गया नाम भी है। नोट के पाठ से पता चलता है कि हैकर्स बिटकॉइन में भुगतान की गई फिरौती प्राप्त करना चाहते हैं और वे दो फाइलों को मुफ्त में डिक्रिप्ट करने की पेशकश करते हैं।