Andariel bűnözői csoport

Az Andariel Criminal Group egy államilag támogatott fenyegetettségi szereplő, amely továbbra is a Dél-Koreában található entitások célba vételére összpontosít. A kiberbûnözõk pénzügyileg motivált oldalát is megmutatták tevékenységüknek. Korábban a csoport közvetlenül a dél-koreai ATM-eket vette célba, míg a csoportnak tulajdonított legutóbbi súlyos támadás során a hackerek ransomware-fenyegetést vetettek be egyik áldozatukra. Meg kell jegyezni, hogy az Andarial Criminal Groupot a Koreai Pénzügyi Biztonsági Intézet a Lazarus APT (Advanced Persistent Threat) csoport alcsoportjaként jelölte ki.

Az Andariel Criminal Group áldozatai egyelőre kevés kapcsolatot mutatnak egymással. Mindegyik áldozat a saját ágazatában tevékenykedett, anélkül, hogy egyértelmű kapcsolata lenne a többi célszervezettel. Az Infosec kutatói a gyártás, a média, az építőipar és az otthoni hálózati szolgáltatások területén dolgozó csoport áldozatait fedezték fel.

Összetett támadási lánc

Az Andariel Criminal Group által végrehajtott műveletek tovább fejlődtek és összetettebbé váltak. A legutóbbi megfigyelt kampány több speciális sérült rakományból áll, mindegyiket a támadás külön szakaszában telepítették. A hackerek fegyveres dokumentumfájlokat használnak a kompromisszum kezdeti vektoraként. A dokumentumok olyan kifinomult fertőzési módszerek végrehajtására készültek, amelyek jelentősen megnehezítik az észlelést. Míg a legtöbb esetben egy fegyveres Microsoft Word dokumentumot juttattak el az áldozatokhoz, számos olyan eset is előfordul, amikor az Andariel Criminal Group egy PDF-dokumentumnak álcázott sérült fájlhoz folyamodott. Végrehajtáskor a dokumentumok átadják a második szakasz hasznos adatát - egy rosszindulatú fenyegetést, amely a Command-and-Control (C2, C&C) kiszolgálókkal való kapcsolatfelvételért és a környezet előkészítéséért felelős a következő rakományhoz.

A második fokozatú kártevő a C2-től kapott parancsoknak megfelelően 5 meghatározott funkciót tud végrehajtani. Ezek közé tartozik a Sleep intervallum beállítása, a fogadott adatok mentése egy helyi fájlba, a fogadott adatok végrehajtása a CreateThread() segítségével, és a megadott parancsok végrehajtása WinExec API-n vagy cmd.exe-n keresztül. A támadás harmadik szakaszában az Andariel Criminal Group egy hátsó ajtó rakományt telepít az áldozat gépére. A hátsó ajtó a műveletben interaktívan fut, és x64 és x86 verziókat tartalmaz. A fenyegetés megpróbálja Internet Explorernek vagy Google Chrome-nak álcázni magát az ikonjaik és a hozzájuk tartozó fájlnevek használatával. A harmadik fokozatú fenyegetés átvizsgálja a kompromittált rendszert, keresve a sandbox környezet jeleit. Ellenőrzi a Sandboxie-hoz és a SunBelt SandBox-hoz tartozó speciális modulok jelenlétét.

Egyetlen áldozat ellen az Andariel Criminal Group fokozta a támadást egy egyedi készítésű ransomware fenyegetés eldobásával. A rosszindulatú program AES-128 CBC módú algoritmust használ az összes fájl titkosításához, méretüktől függetlenül, kivéve a rendszerkritikus kiterjesztéseket, mint például a „.exe”, „.dll”, „.sys”, „.msiins” és „ .drv.' A zárolt fájlokhoz fűzött alapértelmezett kiterjesztése '.3nc004', és ez a név a váltságdíjat hordozó szöveges fájlnak is. A feljegyzés szövegéből kiderül, hogy a hackerek bitcoinban fizetett váltságdíjat akarnak kapni, és felajánlják két fájl ingyenes visszafejtését.