Andariel Criminal Group

Andariel Criminal Group er en statsstøttet trusselaktør som har vist fortsatt fokus på målretting mot enheter lokalisert i Sør-Korea. De nettkriminelle har også vist en økonomisk motivert side ved sin virksomhet. Tidligere har gruppen rettet direkte mot minibanker i Sør-Korea, mens i den siste alvorlige angrepet som ble tilskrevet gruppen, utplasserte hackerne en løsepengevaretrussel til et av ofrene deres. Det skal bemerkes at Andarial Criminal Group har blitt utpekt som en undergruppe av Lazarus APT (Advanced Persistent Threat)-gruppen av Korean Financial Security Institute.

Så langt viser ofrene for Andariel Criminal Group små forbindelser mellom hverandre. Hvert offer har vært aktivt i sine respektive vertikaler, uten klare koblinger til noen av de andre målrettede enhetene. Infosec-forskere har oppdaget ofre for gruppen som jobber innen produksjon, media, konstruksjon og hjemmenettverkstjenester.

En kompleks angrepskjede

Operasjonene utført av Andariel Criminal Group har fortsatt å utvikle seg og blitt mer komplekse. Den siste observerte kampanjen består av flere spesialiserte skadede nyttelaster, hver utplassert i et eget stadium av angrepet. Hackerne bruker våpenbeskyttede dokumentfiler som en første vektor for kompromiss. Dokumentene er laget for å utføre sofistikerte infeksjonsmetoder som gjør deteksjon betydelig vanskeligere. Mens i de fleste tilfeller ble et bevæpnet Microsoft Word-dokument levert til ofrene, er det også flere tilfeller der Andariel Criminal Group ty til en korrupt fil forkledd som et PDF-dokument. Ved utførelse leverer dokumentene andre trinns nyttelast – en skadelig programvaretrussel som er ansvarlig for å etablere kontakt med Command-and-Control (C2, C&C)-servere og forberede miljøet for neste nyttelast.

Skadevare i andre trinn kan utføre 5 spesifikke funksjoner i henhold til kommandoene den mottar fra C2. Disse inkluderer innstilling av et hvileintervall, lagring av mottatte data i en lokal fil, utføring av mottatte data via CreateThread(), og utføring av de gitte kommandoene enten via WinExec API eller cmd.exe. I den tredje fasen av angrepet utplasserer Andariel Criminal Group en bakdørs nyttelast på offerets maskin. Bakdøren utføres i operasjonen interaktivt og inneholder x64- og x86-versjoner. Trusselen forsøker å forkle seg som Internet Explorer eller Google Chrome ved å bruke deres ikoner og tilhørende filnavn. Tredjetrinnstrusselen skanner det kompromitterte systemet for tegn på et sandkassemiljø. Den sjekker for tilstedeværelsen av spesifikke moduler som tilhører Sandboxie og SunBelt SandBox.

På et enkelt offer eskalerte Andariel Criminal Group angrepet ved å droppe en skreddersydd løsepengevaretrussel. Skadevaren bruker en AES-128 CBC-modusalgoritme for å kryptere alle filer uavhengig av størrelse med unntak av systemkritiske utvidelser som '.exe,' '.dll,' '.sys', '.msiins' og '. .drv.' Standardutvidelsen som er lagt til de låste filene er '.3nc004', og det er også navnet som er gitt til tekstfilen som inneholder løsepengene. Teksten i notatet avslører at hackerne ønsker å motta løsepenger betalt i bitcoin, og de tilbyr å dekryptere to filer gratis.