Kumpulan Penjenayah Andariel

Kumpulan Penjenayah Andariel Description

Kumpulan Penjenayah Andariel ialah pelakon ancaman tajaan kerajaan yang telah menunjukkan tumpuan berterusan terhadap entiti sasaran yang terletak di Korea Selatan. Penjenayah siber juga telah menunjukkan sisi bermotivasi kewangan untuk operasi mereka. Sebelum ini, kumpulan itu telah menyasarkan ATM di Korea Selatan secara langsung, manakala dalam serangan serius terbaru yang dikaitkan dengan kumpulan itu, penggodam menggunakan ancaman perisian tebusan kepada salah seorang mangsa mereka. Perlu diingatkan bahawa Kumpulan Penjenayah Andarial telah ditetapkan sebagai sub-kumpulan kumpulan Lazarus APT (Advanced Persistent Threat) oleh Institut Keselamatan Kewangan Korea.

Setakat ini mangsa Kumpulan Penjenayah Andariel menunjukkan sedikit hubungan antara satu sama lain. Setiap mangsa telah aktif dalam menegak masing-masing, tanpa pautan yang jelas kepada mana-mana entiti sasaran yang lain. Penyelidik Infosec telah menemui mangsa kumpulan yang bekerja dalam sektor pembuatan, media, pembinaan dan perkhidmatan rangkaian rumah.

Rantaian Serangan yang Kompleks

Operasi yang dijalankan oleh Kumpulan Penjenayah Andariel terus berkembang dan menjadi lebih kompleks. Kempen yang diperhatikan terkini terdiri daripada berbilang muatan rosak khusus, setiap satu digunakan dalam peringkat serangan yang berasingan. Penggodam menggunakan fail dokumen bersenjata sebagai vektor awal kompromi. Dokumen tersebut direka bentuk untuk menjalankan kaedah jangkitan canggih yang menjadikan pengesanan lebih sukar dengan ketara. Walaupun dalam kebanyakan kes, dokumen Microsoft Word bersenjata telah dihantar kepada mangsa, terdapat juga beberapa contoh di mana Kumpulan Penjenayah Andariel menggunakan fail rosak yang menyamar sebagai dokumen PDF. Selepas pelaksanaan, dokumen menghantar muatan peringkat kedua - ancaman perisian hasad yang bertanggungjawab untuk mewujudkan hubungan dengan pelayan Perintah-dan-Kawalan (C2, C&C) dan menyediakan persekitaran untuk muatan seterusnya.

Malware peringkat kedua boleh melaksanakan 5 fungsi tertentu mengikut arahan yang diterima daripada C2. Ini termasuk menetapkan selang Tidur, menyimpan sebarang data yang diterima dalam fail setempat, melaksanakan data yang diterima melalui CreateThread(), dan melaksanakan arahan yang diberikan sama ada melalui WinExec API atau cmd.exe. Pada peringkat ketiga serangan, Kumpulan Penjenayah Andariel menggunakan muatan pintu belakang ke mesin mangsa. Pintu belakang dilaksanakan dalam operasi secara interaktif dan mengandungi versi x64 dan x86. Ancaman cuba menyamar sebagai Internet Explorer atau Google Chrome dengan menggunakan ikon dan nama fail yang berkaitan. Ancaman peringkat ketiga mengimbas sistem yang terjejas untuk mencari tanda-tanda persekitaran kotak pasir. Ia menyemak kehadiran modul khusus kepunyaan Sandboxie dan SunBelt SandBox.

Pada seorang mangsa, Kumpulan Penjenayah Andariel meningkatkan serangan dengan menggugurkan ancaman perisian tebusan yang dibuat khas. Perisian hasad menggunakan algoritma mod AES-128 CBC untuk menyulitkan semua fail tanpa mengira saiznya dengan pengecualian sambungan kritikal sistem seperti '.exe,' '.dll,' '.sys,' '.msiins,' dan ' .drv.' Sambungan lalai yang dilampirkan pada fail yang dikunci ialah '.3nc004' dan itu juga nama yang diberikan kepada fail teks yang membawa nota tebusan. Teks nota itu mendedahkan bahawa penggodam ingin menerima wang tebusan yang dibayar dalam bitcoin dan mereka menawarkan untuk menyahsulit dua fail secara percuma.