Andariel kriminalna skupina

Andariel Criminal Group je prijetnja koju sponzorira država koja je pokazala kontinuirani fokus na ciljanje entiteta koji se nalaze u Južnoj Koreji. Cyber kriminalci su također pokazali financijski motiviranu stranu u svojim operacijama. Prethodno je grupa izravno ciljala bankomate u Južnoj Koreji, dok su u posljednjem ozbiljnom napadu koji se pripisuje grupi, hakeri su postavili prijetnju ransomware-a jednoj od svojih žrtava. Treba napomenuti da je Korejski institut za financijsku sigurnost odredio Andarial Criminal Group kao podskupinu Lazarus APT (Advanced Persistent Threat) grupe.

Do sada žrtve Andariel kriminalne grupe pokazuju malo međusobne povezanosti. Svaka žrtva bila je aktivna u svojim vertikalama, bez jasnih veza s bilo kojim drugim ciljanim subjektima. Istraživači Infoseca otkrili su žrtve grupe koje rade u sektoru proizvodnje, medija, građevinarstva i usluga kućne mreže.

Složeni lanac napada

Operacije koje provodi Andariel Criminal Group nastavile su se razvijati i postajale sve složenije. Posljednja promatrana kampanja sastoji se od više specijaliziranih oštećenih korisnih tereta, od kojih je svaki raspoređen u zasebnoj fazi napada. Hakeri koriste naoružane datoteke dokumenata kao početni vektor kompromisa. Dokumenti su osmišljeni za provođenje sofisticiranih metoda zaraze koje značajno otežavaju otkrivanje. Dok je u većini slučajeva žrtvama isporučen naoružani dokument Microsoft Worda, postoji i nekoliko slučajeva u kojima je Andariel Criminal Group pribjegla oštećenoj datoteci prerušenoj u PDF dokument. Nakon izvršenja, dokumenti isporučuju drugu fazu korisnog opterećenja - prijetnju zlonamjernog softvera odgovornu za uspostavljanje kontakta s Command-and-Control (C2, C&C) poslužiteljima i pripremu okruženja za sljedeći korisni teret.

Zlonamjerni softver druge faze može obavljati 5 specifičnih funkcija prema naredbama koje prima od C2. To uključuje postavljanje intervala mirovanja, spremanje svih primljenih podataka u lokalnu datoteku, izvršavanje primljenih podataka putem CreateThread() i izvršavanje zadanih naredbi putem WinExec API-ja ili cmd.exe. U trećoj fazi napada, Andariel Criminal Group postavlja backdoor teret na žrtvin stroj. Backdoor se u operaciji izvršava interaktivno i sadrži x64 i x86 verzije. Prijetnja se pokušava prikriti u Internet Explorer ili Google Chrome korištenjem njihovih ikona i povezanih naziva datoteka. Prijetnja treće faze skenira kompromitirani sustav u potrazi za znakovima okruženja sandbox-a. Provjerava prisutnost određenih modula koji pripadaju Sandboxie i SunBelt SandBox.

Na jednu žrtvu, Andariel Criminal Group eskalirala je napad odbacivši prilagođenu prijetnju ransomware-a. Zlonamjerni softver koristi algoritam AES-128 CBC načina za šifriranje svih datoteka bez obzira na njihovu veličinu s iznimkom proširenja kritičnih za sustav kao što su '.exe,' '.dll', '.sys', '.msiins' i ' .drv.' Zadana ekstenzija koja se dodaje zaključanim datotekama je '.3nc004', a to je i naziv tekstualne datoteke koja nosi bilješku o otkupnini. Tekst bilješke otkriva da hakeri žele primiti otkupninu plaćenu u bitcoinima i nude besplatno dešifriranje dvije datoteke.