Andariel Criminal Group

Andariel Criminal Group jest sponsorowanym przez państwo podmiotem zajmującym się zagrożeniami, który nadal koncentruje się na atakowaniu podmiotów zlokalizowanych w Korei Południowej. Cyberprzestępcy wykazali się również motywacją finansową w swoich operacjach. Wcześniej grupa atakowała bezpośrednio bankomaty w Korei Południowej, podczas gdy w ostatnim poważnym ataku przypisywanym grupie hakerzy wdrożyli zagrożenie ransomware dla jednej ze swoich ofiar. Należy zauważyć, że Andarial Criminal Group została wyznaczona przez Koreański Instytut Bezpieczeństwa Finansowego jako podgrupa grupy Lazarus APT (Advanced Persistent Threat).

Jak dotąd ofiary Grupy Kryminalnej Andariel wykazują między sobą niewielkie powiązania. Każda ofiara była aktywna w swoich branżach, bez wyraźnych powiązań z innymi podmiotami docelowymi. Badacze z Infosec odkryli ofiary grupy działającej w sektorach produkcji, mediów, budownictwa i sieci domowych.

Złożony łańcuch ataków

Operacje prowadzone przez Andariel Criminal Group wciąż ewoluują i stają się bardziej złożone. Najnowsza zaobserwowana kampania składa się z wielu wyspecjalizowanych, uszkodzonych ładunków, z których każdy został wdrożony w oddzielnym etapie ataku. Hakerzy używają uzbrojonych plików dokumentów jako początkowego wektora kompromisu. Dokumenty mają na celu przeprowadzanie zaawansowanych metod infekcji, które znacznie utrudniają wykrywanie. Podczas gdy w większości przypadków ofiarom dostarczano uzbrojony dokument Microsoft Word, istnieje również kilka przypadków, w których grupa przestępcza Andariel uciekła się do uszkodzonego pliku zamaskowanego jako dokument PDF. Po wykonaniu dokumenty dostarczają ładunek drugiego etapu - szkodliwe oprogramowanie odpowiedzialne za nawiązanie kontaktu z serwerami Command-and-Control (C2, C&C) i przygotowanie środowiska dla kolejnego ładunku.

Złośliwe oprogramowanie drugiego etapu może wykonywać 5 określonych funkcji zgodnie z poleceniami, które otrzymuje z C2. Obejmują one ustawienie interwału uśpienia, zapisanie wszelkich odebranych danych w pliku lokalnym, wykonanie odebranych danych za pomocą funkcji CreateThread() i wykonanie podanych poleceń za pomocą interfejsu API WinExec lub cmd.exe. W trzecim etapie ataku grupa przestępcza Andariel umieszcza na komputerze ofiary ładunek typu backdoor. Backdoor jest wykonywany w operacji interaktywnie i zawiera wersje x64 i x86. Zagrożenie próbuje ukryć się jako Internet Explorer lub Google Chrome, używając ich ikon i powiązanych nazw plików. Zagrożenie trzeciego stopnia skanuje zaatakowany system w poszukiwaniu oznak środowiska piaskownicy. Sprawdza obecność określonych modułów należących do Sandboxie i SunBelt SandBox.

Na jednej ofierze grupa przestępcza Andariel eskalowała atak, porzucając niestandardowe zagrożenie ransomware. Szkodnik wykorzystuje algorytm trybu CBC AES-128 do szyfrowania wszystkich plików niezależnie od ich rozmiaru, z wyjątkiem rozszerzeń krytycznych dla systemu, takich jak „.exe", „.dll", „.sys", „.msiins" i „. .drv.' Domyślnym rozszerzeniem dołączanym do zablokowanych plików jest „.3nc004" i jest to również nazwa nadana plikowi tekstowemu z żądaniem okupu. Z treści notatki wynika, że hakerzy chcą otrzymać okup zapłacony w bitcoinach i oferują odszyfrowanie dwóch plików za darmo.