Andariel Criminal Group

De Andariel Criminal Group is een door de staat gesteunde dreigingsactor die blijk heeft gegeven van voortdurende focus op het aanvallen van entiteiten in Zuid-Korea. De cybercriminelen hebben ook een financieel gemotiveerde kant van hun operaties laten zien. Voorheen richtte de groep zich rechtstreeks op geldautomaten in Zuid-Korea, terwijl de hackers in de laatste ernstige aanval die aan de groep werd toegeschreven, een ransomware-dreiging voor een van hun slachtoffers inzetten. Opgemerkt moet worden dat de Andarial Criminal Group door het Korean Financial Security Institute is aangewezen als een subgroep van de Lazarus APT-groep (Advanced Persistent Threat).

Tot nu toe vertonen de slachtoffers van de Andariel Criminal Group weinig onderlinge verbanden. Elk slachtoffer is actief geweest in hun respectievelijke branches, zonder duidelijke banden met een van de andere getargete entiteiten. Infosec-onderzoekers hebben slachtoffers van de groep ontdekt die werkzaam zijn in de sectoren productie, media, bouw en thuisnetwerkdiensten.

Een complexe aanvalsketen

De operaties van de Andariel Criminal Group zijn verder geëvolueerd en complexer geworden. De laatst waargenomen campagne bestaat uit meerdere gespecialiseerde corrupte payloads, die elk in een afzonderlijke fase van de aanval worden ingezet. De hackers gebruiken bewapende documentbestanden als een eerste compromismiddel. De documenten zijn ontworpen om geavanceerde infectiemethoden uit te voeren die detectie aanzienlijk moeilijker maken. Hoewel in de meeste gevallen een bewapend Microsoft Word-document aan de slachtoffers werd afgeleverd, zijn er ook verschillende gevallen waarin de Andariel Criminal Group zijn toevlucht nam tot een beschadigd bestand vermomd als een PDF-document. Na uitvoering leveren de documenten de payload van de tweede fase op - een malwarebedreiging die verantwoordelijk is voor het leggen van contact met de Command-and-Control (C2, C&C)-servers en het voorbereiden van de omgeving op de volgende payload.

De malware van de tweede fase kan 5 specifieke functies uitvoeren volgens de opdrachten die het van de C2 ontvangt. Deze omvatten het instellen van een slaapinterval, het opslaan van alle ontvangen gegevens in een lokaal bestand, het uitvoeren van de ontvangen gegevens via CreateThread() en het uitvoeren van de gegeven opdrachten via WinExec API of cmd.exe. In de derde fase van de aanval plaatst de Andariel Criminal Group een backdoor-lading op de machine van het slachtoffer. De achterdeur wordt in de operatie interactief uitgevoerd en bevat x64- en x86-versies. De dreiging probeert zichzelf te vermommen als Internet Explorer of Google Chrome door hun pictogrammen en bijbehorende bestandsnamen te gebruiken. De dreiging van de derde fase scant het gecompromitteerde systeem op tekenen van een sandbox-omgeving. Het controleert op de aanwezigheid van specifieke modules van Sandboxie en SunBelt SandBox.

Bij een enkel slachtoffer escaleerde de Andariel Criminal Group de aanval door een op maat gemaakte ransomware-dreiging te laten vallen. De malware gebruikt een AES-128 CBC-modusalgoritme om alle bestanden te coderen, ongeacht hun grootte, met uitzondering van systeemkritieke extensies zoals '.exe,' '.dll,' '.sys', '.msiins' en ' .drv.' De standaardextensie die aan de vergrendelde bestanden wordt toegevoegd, is '.3nc004' en dat is ook de naam die wordt gegeven aan het tekstbestand met het losgeldbriefje. De tekst van de notitie onthult dat de hackers een losgeld willen ontvangen dat wordt betaald in bitcoin en ze bieden aan om twee bestanden gratis te decoderen.