अन्डारियल आपराधिक समूह

अन्डारिएल आपराधिक समूह एक राज्य-प्रायोजित खतरा अभिनेता हो जसले दक्षिण कोरियामा अवस्थित संस्थाहरूलाई लक्षित गर्नमा निरन्तर ध्यान केन्द्रित गरेको देखाएको छ। साइबर अपराधीहरूले पनि आफ्नो सञ्चालनमा आर्थिक रूपमा उत्प्रेरित पक्ष प्रदर्शन गरेका छन्। यसअघि, समूहले दक्षिण कोरियामा प्रत्यक्ष रूपमा एटीएमहरूलाई लक्षित गरेको छ, जबकि समूहलाई श्रेय दिइएको पछिल्लो गम्भीर आक्रमणमा, ह्याकरहरूले उनीहरूको पीडित मध्ये एकलाई ransomware धम्की दिए। यो ध्यान दिनुपर्छ कि अन्डारियल आपराधिक समूहलाई कोरियाली वित्तीय सुरक्षा संस्थानले लाजरस एपीटी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहको उप-समूहको रूपमा तोकिएको छ।

अहिलेसम्म अन्डारियल आपराधिक समूहका पीडितहरूले एकअर्काबीच थोरै सम्बन्ध देखाउँछन्। प्रत्येक पीडित अन्य कुनै पनि लक्षित संस्थाहरूसँग स्पष्ट लिङ्क बिना, तिनीहरूको सम्बन्धित ठाडोमा सक्रिय छन्। इन्फोसेक अनुसन्धानकर्ताहरूले उत्पादन, मिडिया, निर्माण र गृह नेटवर्क सेवा क्षेत्रमा काम गर्ने समूहका पीडितहरू फेला पारेका छन्।

एक जटिल आक्रमण श्रृंखला

अन्डारियल आपराधिक समूहद्वारा गरिएका अपरेसनहरू विकसित हुँदै गएका छन् र अझ जटिल हुँदै गएका छन्। पछिल्लो अवलोकन गरिएको अभियानले धेरै विशेष भ्रष्ट पेलोडहरू समावेश गर्दछ, प्रत्येक आक्रमणको छुट्टै चरणमा तैनाथ गरिएको छ। ह्याकरहरूले हतियारयुक्त कागजात फाइलहरू सम्झौताको प्रारम्भिक भेक्टरको रूपमा प्रयोग गर्छन्। कागजातहरू परिष्कृत संक्रमण विधिहरू सञ्चालन गर्न डिजाइन गरिएको हो जसले पत्ता लगाउन गाह्रो बनाउँछ। धेरै जसो केसहरूमा, हतियारयुक्त माइक्रोसफ्ट वर्ड कागजात पीडितहरूलाई डेलिभर गरिएको थियो, त्यहाँ धेरै उदाहरणहरू छन् जहाँ एन्डारिएल आपराधिक समूहले पीडीएफ कागजातको रूपमा भेषमा भ्रष्ट फाइलको सहारा लिएको छ। कार्यान्वयनमा, कागजातहरूले दोस्रो चरणको पेलोड प्रदान गर्दछ - कमाण्ड-एन्ड-कन्ट्रोल (C2, C&C) सर्भरहरूसँग सम्पर्क स्थापना गर्न र अर्को पेलोडको लागि वातावरण तयार गर्न जिम्मेवार मालवेयर खतरा।

दोस्रो चरणको मालवेयरले C2 बाट प्राप्त आदेशहरू अनुसार 5 विशिष्ट कार्यहरू गर्न सक्छ। यसमा स्लीप अन्तराल सेट गर्ने, स्थानीय फाइलमा प्राप्त डाटा बचत गर्ने, CreateThread() मार्फत प्राप्त डाटा कार्यान्वयन गर्ने, र WinExec API वा cmd.exe मार्फत दिइएको आदेशहरू कार्यान्वयन गर्ने समावेश छ। आक्रमणको तेस्रो चरणमा, अन्डारियल आपराधिक समूहले पीडितको मेसिनमा ब्याकडोर पेलोड तैनाथ गर्दछ। ब्याकडोर अन्तरक्रियात्मक रूपमा सञ्चालनमा कार्यान्वयन गरिन्छ र x64 र x86 संस्करणहरू समावेश गर्दछ। धम्कीले आफूलाई इन्टरनेट एक्सप्लोरर वा गुगल क्रोमको रूपमा तिनीहरूको आइकनहरू र सम्बन्धित फाइल नामहरू प्रयोग गरेर लुकाउने प्रयास गर्छ। तेस्रो-चरण खतराले स्यान्डबक्स वातावरणको संकेतहरूको लागि सम्झौता प्रणाली स्क्यान गर्दछ। यसले Sandboxie र SunBelt SandBox सँग सम्बन्धित विशिष्ट मोड्युलहरूको उपस्थितिको लागि जाँच गर्दछ।

एकल पीडितमा, अन्डारियल आपराधिक समूहले कस्टम-निर्मित ransomware खतरा छोडेर आक्रमणलाई बढायो। मालवेयरले '.exe,' '.dll,' '.sys,' '.msiins,' र 'जस्ता प्रणाली-महत्वपूर्ण विस्तारहरू बाहेक सबै फाइलहरूलाई तिनीहरूको साइजको पर्वाह नगरी इन्क्रिप्ट गर्न AES-128 CBC मोड एल्गोरिदम प्रयोग गर्दछ। .drv।' लक गरिएका फाइलहरूमा जोडिएको पूर्वनिर्धारित विस्तार '.3nc004' हो र त्यो फिरौती नोट बोक्ने टेक्स्ट फाइललाई दिइएको नाम पनि हो। नोटको पाठले खुलासा गर्दछ कि ह्याकरहरूले बिटक्वाइनमा फिरौती तिरेको फिरौती प्राप्त गर्न चाहन्छन् र उनीहरूले दुई फाइलहरू नि: शुल्क डिक्रिप्ट गर्न प्रस्ताव गर्छन्।