Andariel nusikalstama grupė

„Andariel Criminal Group“ yra valstybės remiama grėsmių veikėja, kuri nuolat skiria dėmesį į Pietų Korėjoje esančius subjektus. Kibernetiniai nusikaltėliai taip pat demonstravo finansiškai motyvuotą savo veiklos pusę. Anksčiau grupuotė tiesiogiai taikėsi į bankomatus Pietų Korėjoje, o per naujausią jai priskirtą rimtą išpuolį įsilaužėliai vienai iš savo aukų panaudojo išpirkos reikalaujančią programinę įrangą. Reikėtų pažymėti, kad Korėjos finansinio saugumo institutas Andarial Criminal Group paskyrė Lazarus APT (Advanced Persistent Threat) grupės pogrupį.

Kol kas Andariel kriminalinės grupės aukos mažai sieja tarpusavyje. Kiekviena auka buvo aktyvi atitinkamose vertikalėse, be aiškių sąsajų su jokiais kitais subjektais, kuriems taikytasi. „Infosec“ tyrėjai aptiko grupės, dirbančios gamybos, žiniasklaidos, statybos ir namų tinklo paslaugų sektoriuose, aukas.

Sudėtinga puolimo grandinė

Andariel Criminal Group vykdomos operacijos toliau vystėsi ir tapo sudėtingesnės. Paskutinę stebėtą kampaniją sudaro keli specializuoti sugadinti naudingieji kroviniai, kurių kiekvienas buvo dislokuotas atskirame atakos etape. Įsilaužėliai naudoja ginkluotus dokumentų failus kaip pradinį kompromiso vektorių. Dokumentai yra skirti atlikti sudėtingus infekcijos metodus, kurie žymiai apsunkina aptikimą. Nors daugeliu atvejų aukoms buvo pristatytas ginkluotas Microsoft Word dokumentas, taip pat yra keletas atvejų, kai Andariel Criminal Group pasinaudojo sugadintu failu, užmaskuotu PDF doc. Vykdydami dokumentai pateikia antrojo etapo naudingąjį apkrovą – kenkėjiškų programų grėsmę, atsakingą už ryšio su Command-and-Control (C2, C&C) serveriais užmezgimą ir aplinkos paruošimą kitam naudingajam kroviniui.

Antros pakopos kenkėjiška programa gali atlikti 5 specifines funkcijas pagal komandas, kurias ji gauna iš C2. Tai apima miego intervalo nustatymą, visų gautų duomenų įrašymą vietiniame faile, gautų duomenų vykdymą naudojant CreateThread() ir nurodytų komandų vykdymą per WinExec API arba cmd.exe. Trečiajame atakos etape Andariel kriminalinė grupė į aukos mašiną įveda užpakalinių durų naudingą apkrovą. Užpakalinės durys operacijos metu vykdomos interaktyviai ir turi x64 ir x86 versijas. Grėsmė bando užmaskuoti save kaip „Internet Explorer“ arba „Google Chrome“, naudodama jų piktogramas ir susijusius failų pavadinimus. Trečios pakopos grėsmė nuskaito pažeistoje sistemoje smėlio dėžės aplinkos požymių. Ji tikrina, ar nėra konkrečių modulių, priklausančių Sandboxie ir SunBelt SandBox.

Vienai aukai Andariel Criminal Group padidino ataką, atsisakydama pagal užsakymą sukurtos išpirkos programinės įrangos grėsmės. Kenkėjiška programa naudoja AES-128 CBC režimo algoritmą, kad užšifruotų visus failus, neatsižvelgiant į jų dydį, išskyrus sistemai svarbius plėtinius, tokius kaip „.exe“, „.dll“, „.sys“, „.msiins“ ir „. .drv.' Numatytasis plėtinys, pridėtas prie užrakintų failų, yra „.3nc004“, taip pat toks pavadinimas suteiktas tekstiniam failui, kuriame yra išpirkos laiškas. Rašto tekstas atskleidžia, kad įsilaužėliai nori gauti bitkoinais sumokėtą išpirką ir siūlo nemokamai iššifruoti du failus.