Andariel Criminal Group

L'Andariel Criminal Group è un attore di minacce sponsorizzato dallo stato che ha mostrato una continua attenzione nel prendere di mira entità situate in Corea del Sud. I criminali informatici hanno anche mostrato un lato finanziariamente motivato delle loro operazioni. In precedenza, il gruppo ha preso di mira direttamente gli sportelli automatici in Corea del Sud, mentre nell'ultimo grave attacco attribuito al gruppo, gli hacker hanno distribuito una minaccia ransomware a una delle loro vittime. Va notato che l'Andarial Criminal Group è stato designato come sottogruppo del gruppo Lazarus APT (Advanced Persistent Threat) dal Korean Financial Security Institute.

Finora le vittime del gruppo criminale di Andariel mostrano pochi collegamenti tra loro. Ogni vittima è stata attiva nei rispettivi verticali, senza collegamenti chiari con nessuna delle altre entità prese di mira. I ricercatori di Infosec hanno scoperto le vittime del gruppo che lavora nei settori manifatturiero, dei media, delle costruzioni e dei servizi di rete domestica.

Una catena di attacchi complessa

Le operazioni svolte dal Gruppo Andariel Criminal hanno continuato ad evolversi e diventare più complesse. L'ultima campagna osservata consiste in più payload corrotti specializzati, ciascuno distribuito in una fase separata dell'attacco. Gli hacker utilizzano file di documenti armati come vettore iniziale di compromissione. I documenti sono progettati per eseguire metodi di infezione sofisticati che rendono il rilevamento significativamente più difficile. Mentre nella maggior parte dei casi alle vittime è stato consegnato un documento Microsoft Word come arma, ci sono anche diversi casi in cui l'Andariel Criminal Group ha fatto ricorso a un file corrotto travestito da documento PDF. Al momento dell'esecuzione, i documenti forniscono il payload di seconda fase, una minaccia malware responsabile di stabilire un contatto con i server Command-and-Control (C2, C&C) e preparare l'ambiente per il payload successivo.

Il malware di secondo stadio può svolgere 5 funzioni specifiche in base ai comandi che riceve dal C2. Questi includono l'impostazione di un intervallo di sospensione, il salvataggio dei dati ricevuti in un file locale, l'esecuzione dei dati ricevuti tramite CreateThread() e l'esecuzione dei comandi forniti tramite l'API WinExec o cmd.exe. Nella terza fase dell'attacco, l'Andariel Criminal Group distribuisce un carico utile backdoor sulla macchina della vittima. La backdoor viene eseguita nell'operazione in modo interattivo e contiene versioni x64 e x86. La minaccia tenta di camuffarsi da Internet Explorer o Google Chrome utilizzando le loro icone e i nomi di file associati. La minaccia di terza fase esegue la scansione del sistema compromesso alla ricerca di segni di un ambiente sandbox. Verifica la presenza di moduli specifici appartenenti a Sandboxie e SunBelt SandBox.

Su una singola vittima, l'Andariel Criminal Group ha intensificato l'attacco rilasciando una minaccia ransomware personalizzata. Il malware utilizza un algoritmo in modalità CBC AES-128 per crittografare tutti i file indipendentemente dalle loro dimensioni, ad eccezione delle estensioni critiche per il sistema come ".exe", ".dll", ".sys", ".msiins" e " .drv.' L'estensione predefinita aggiunta ai file bloccati è '.3nc004' e questo è anche il nome dato al file di testo che trasporta la richiesta di riscatto. Il testo della nota rivela che gli hacker vogliono ricevere un riscatto pagato in bitcoin e si offrono di decrittare gratuitamente due file.