Andariela noziedzīgā grupa

Andariela noziedzīgā grupa Apraksts

Andariel Criminal Group ir valsts sponsorēts draudu dalībnieks, kas ir pastāvīgi koncentrējies uz Dienvidkorejā izvietotajām vienībām. Kibernoziedznieki ir arī parādījuši savu darbību finansiāli motivētu pusi. Iepriekš grupa ir mērķējusi tieši pret bankomātiem Dienvidkorejā, savukārt pēdējā nopietnajā uzbrukumā, kas tika attiecināts uz grupu, hakeri izvietoja izspiedējvīrusa draudus vienam no saviem upuriem. Jāpiebilst, ka Korejas Finanšu drošības institūts Andarial Criminal Group ir norādījis kā Lazarus APT (Advanced Persistent Threat) grupas apakšgrupu.

Līdz šim Andariela noziedzīgās grupas upuri savā starpā uzrāda nelielas saiknes. Katrs upuris ir bijis aktīvs savās attiecīgajās vertikālēs, bez skaidrām saiknēm ar citām mērķa vienībām. Infosec pētnieki ir atklājuši grupas upurus, kas strādā ražošanas, plašsaziņas līdzekļu, būvniecības un mājas tīkla pakalpojumu nozarēs.

Sarežģīta uzbrukuma ķēde

Andariel Criminal Group veiktās operācijas ir turpinājušas attīstīties un kļuvušas sarežģītākas. Pēdējā novērotā kampaņa sastāv no vairākām specializētām bojātām kravām, no kurām katra ir izvietota atsevišķā uzbrukuma posmā. Hakeri izmanto ieroču dokumentu failus kā sākotnējo kompromisa vektoru. Dokumenti ir izstrādāti, lai veiktu sarežģītas infekcijas metodes, kas ievērojami apgrūtina noteikšanu. Lai gan vairumā gadījumu upuriem tika piegādāts bruņots Microsoft Word dokuments, ir arī vairāki gadījumi, kad Andariel Criminal Group izmantoja bojātu failu, kas bija maskēts kā PDF dokuments. Pēc izpildes dokumenti piegādā otrās pakāpes lietderīgo slodzi - ļaunprātīgas programmatūras draudus, kas atbild par kontakta nodibināšanu ar Command-and-Control (C2, C&C) serveriem un vides sagatavošanu nākamajai slodzei.

Otrās pakāpes ļaunprogrammatūra var veikt 5 noteiktas funkcijas saskaņā ar komandām, ko tā saņem no C2. Tie ietver miega intervāla iestatīšanu, visu saņemto datu saglabāšanu vietējā failā, saņemto datu izpildi, izmantojot CreateThread(), un doto komandu izpildi, izmantojot WinExec API vai cmd.exe. Trešajā uzbrukuma posmā Andariel noziedzīgā grupa izvieto upura mašīnai aizmugurējās durvis. Aizmugurējās durvis operācijā tiek izpildītas interaktīvi un satur x64 un x86 versijas. Draudi mēģina maskēties kā Internet Explorer vai Google Chrome, izmantojot to ikonas un saistītos failu nosaukumus. Trešās pakāpes draudi skenē apdraudēto sistēmu, lai atrastu smilškastes vides pazīmes. Tā pārbauda īpašu moduļu klātbūtni, kas pieder Sandboxie un SunBelt SandBox.

Vienam upurim Andariel Criminal Group pastiprināja uzbrukumu, atmetot pēc pasūtījuma izgatavotu izpirkuma programmatūras draudus. Ļaunprātīga programmatūra izmanto AES-128 CBC režīma algoritmu, lai šifrētu visus failus neatkarīgi no to lieluma, izņemot sistēmai būtiskos paplašinājumus, piemēram, ".exe", ".dll", ".sys", ".msiins" un " .drv.' Noklusējuma paplašinājums, kas pievienots bloķētajiem failiem, ir “.3nc004”, un tas ir arī nosaukums teksta failam, kurā ir izpirkuma piezīme. Piezīmes teksts atklāj, ka hakeri vēlas saņemt bitcoin maksātu izpirkuma maksu un viņi piedāvā bez maksas atšifrēt divus failus.