ក្រុមឧក្រិដ្ឋជន Andariel

Andariel Criminal Group គឺជាតួអង្គគម្រាមកំហែងដែលឧបត្ថម្ភដោយរដ្ឋ ដែលបានបង្ហាញការផ្តោតការយកចិត្តទុកដាក់បន្តទៅលើអង្គភាពគោលដៅដែលមានទីតាំងនៅកូរ៉េខាងត្បូង។ ឧក្រិដ្ឋជនតាមអ៊ីនធឺណិតក៏បានបង្ហាញពីផ្នែកដែលជំរុញទឹកចិត្តផ្នែកហិរញ្ញវត្ថុចំពោះប្រតិបត្តិការរបស់ពួកគេ។ កាលពីមុន ក្រុមនេះបានកំណត់គោលដៅលើម៉ាស៊ីន ATM នៅក្នុងប្រទេសកូរ៉េខាងត្បូងដោយផ្ទាល់ ខណៈដែលនៅក្នុងការវាយប្រហារដ៏ធ្ងន់ធ្ងរចុងក្រោយបង្អស់របស់ក្រុមនេះ ពួក Hacker បានដាក់ពង្រាយការគំរាមកំហែង ransomware ដល់ជនរងគ្រោះម្នាក់របស់ពួកគេ។ គួរកត់សំគាល់ថា ក្រុមឧក្រិដ្ឋជន Andarial ត្រូវបានចាត់តាំងជាក្រុមរងនៃក្រុម Lazarus APT (Advanced Persistent Threat) ដោយវិទ្យាស្ថានសន្តិសុខហិរញ្ញវត្ថុកូរ៉េ។

រហូតមកដល់ពេលនេះជនរងគ្រោះនៃក្រុមឧក្រិដ្ឋជន Andariel បង្ហាញពីទំនាក់ទំនងតិចតួចរវាងគ្នាទៅវិញទៅមក។ ជនរងគ្រោះម្នាក់ៗបានធ្វើសកម្មភាពនៅក្នុងទីតាំងរៀងៗខ្លួន ដោយមិនមានទំនាក់ទំនងច្បាស់លាស់ទៅកាន់អង្គភាពគោលដៅផ្សេងទៀតឡើយ។ អ្នកស្រាវជ្រាវ Infosec បានរកឃើញជនរងគ្រោះនៃក្រុមដែលធ្វើការនៅក្នុងផ្នែកផលិតកម្ម ប្រព័ន្ធផ្សព្វផ្សាយ សំណង់ និងផ្នែកសេវាកម្មបណ្តាញផ្ទះ។

ខ្សែសង្វាក់វាយប្រហារស្មុគស្មាញ

ប្រតិបត្តិការដែលធ្វើឡើងដោយក្រុមឧក្រិដ្ឋជន Andariel បានបន្តវិវឌ្ឍ និងកាន់តែស្មុគស្មាញ។ យុទ្ធនាការដែលត្រូវបានគេសង្កេតឃើញចុងក្រោយបង្អស់មានបន្ទុកពិសេសជាច្រើនដែលខូច ដែលនីមួយៗត្រូវបានដាក់ពង្រាយក្នុងដំណាក់កាលដាច់ដោយឡែកនៃការវាយប្រហារ។ ពួក Hacker ប្រើប្រាស់ឯកសារដែលមានអាវុធជាវ៉ិចទ័រដំបូងនៃការសម្របសម្រួល។ ឯកសារត្រូវបានរៀបចំឡើងដើម្បីអនុវត្តវិធីសាស្រ្តឆ្លងមេរោគដ៏ទំនើប ដែលធ្វើឲ្យការរកឃើញកាន់តែពិបាក។ ខណៈពេលដែលក្នុងករណីភាគច្រើន ឯកសារ Microsoft Word ដែលមានអាវុធត្រូវបានបញ្ជូនទៅជនរងគ្រោះ វាក៏មានករណីជាច្រើនដែល Andariel Criminal Group បានប្រើឯកសារខូចដែលក្លែងធ្វើជាឯកសារ PDF ។ នៅពេលប្រតិបត្តិ ឯកសារផ្តល់ការបញ្ជូនដំណាក់កាលទីពីរ ដែលជាការគំរាមកំហែងមេរោគដែលទទួលខុសត្រូវក្នុងការបង្កើតទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ Command-and-Control (C2, C&C) និងរៀបចំបរិស្ថានសម្រាប់ payload បន្ទាប់។

មេរោគដំណាក់កាលទីពីរអាចអនុវត្តមុខងារជាក់លាក់ចំនួន 5 យោងតាមពាក្យបញ្ជាដែលវាទទួលបានពី C2 ។ ទាំងនេះរួមមានការកំណត់ចន្លោះពេលគេង រក្សាទុកទិន្នន័យដែលបានទទួលនៅក្នុងឯកសារមូលដ្ឋាន ប្រតិបត្តិទិន្នន័យដែលទទួលបានតាមរយៈ CreateThread() និងការប្រតិបត្តិពាក្យបញ្ជាដែលបានផ្តល់ឱ្យទាំងតាមរយៈ WinExec API ឬ cmd.exe ។ នៅក្នុងដំណាក់កាលទីបីនៃការវាយប្រហារ ក្រុមឧក្រិដ្ឋជន Andariel បានដាក់ពង្រាយបន្ទុកខាងក្រោយទៅលើម៉ាស៊ីនរបស់ជនរងគ្រោះ។ Backdoor ត្រូវបានប្រតិបត្តិក្នុងប្រតិបត្តិការអន្តរកម្ម និងមានកំណែ x64 និង x86។ ការគំរាមកំហែងនេះព្យាយាមក្លែងខ្លួនជា Internet Explorer ឬ Google Chrome ដោយប្រើរូបតំណាង និងឈ្មោះឯកសារដែលពាក់ព័ន្ធ។ ការគំរាមកំហែងដំណាក់កាលទីបីស្កេនប្រព័ន្ធសម្របសម្រួលសម្រាប់សញ្ញានៃបរិស្ថានប្រអប់ខ្សាច់។ វាពិនិត្យរកមើលវត្តមាននៃម៉ូឌុលជាក់លាក់ដែលជាកម្មសិទ្ធិរបស់ Sandboxie និង SunBelt SandBox ។

នៅលើជនរងគ្រោះតែមួយ ក្រុមឧក្រិដ្ឋជន Andariel បានបង្កើនការវាយប្រហារដោយទម្លាក់ការគំរាមកំហែង ransomware ដែលផលិតតាមតម្រូវការ។ មេរោគនេះប្រើក្បួនដោះស្រាយរបៀប AES-128 CBC ដើម្បីអ៊ិនគ្រីបឯកសារទាំងអស់ដោយមិនគិតពីទំហំរបស់វា លើកលែងតែផ្នែកបន្ថែមសំខាន់ៗរបស់ប្រព័ន្ធដូចជា '.exe,' '.dll,' '.sys,' '.msiins,' និង ' .drv.' ផ្នែកបន្ថែមលំនាំដើមដែលបានបន្ថែមទៅឯកសារដែលបានចាក់សោគឺ '.3nc004' ហើយនោះក៏ជាឈ្មោះដែលបានផ្តល់ទៅឱ្យឯកសារអត្ថបទដែលមានកំណត់ចំណាំតម្លៃលោះផងដែរ។ អត្ថបទនៃចំណាំបង្ហាញថាពួក Hacker ចង់ទទួលបានតម្លៃលោះដែលបង់ជា bitcoin ហើយពួកគេផ្តល់ជូនដើម្បីឌិគ្រីបឯកសារពីរដោយឥតគិតថ្លៃ។