Andariel Criminal Group

Descrição do Andariel Criminal Group

O Andariel Criminal Group é um agente de ameaças patrocinado pelo estado que demonstrou foco contínuo em alvejar entidades localizadas na Coreia do Sul. Os cibercriminosos também mostraram um lado financeiro motivado em suas operações. Anteriormente, o grupo tinha como alvo ATMs na Coreia do Sul diretamente, enquanto no último ataque sério atribuído ao grupo, os hackers implantaram uma ameaça de ransomware em uma de suas vítimas. Deve-se notar que o Andarial Criminal Group foi designado como um subgrupo do grupo Lazaru's APT (Advanced Persistent Threat) pelo Korean Financial Security Institute.

Até agora, as vítimas do Grupo Criminal de Andariel mostram poucas conexões entre si. Cada vítima esteve ativa em seus respectivos setores verticais, sem links claros para qualquer uma das outras entidades visadas. Os pesquisadores da Infosec descobriram vítimas do grupo trabalhando nos setores de manufatura, mídia, construção e serviços de rede doméstica.

Uma Cadeia de Ataque Complexa

As operações do Grupo Criminoso Andariel continuam a evoluir e a tornar-se mais complexas. A última campanha observada consiste em várias cargas úteis corrompidas especializadas, cada uma implantada em um estágio separado do ataque. Os hackers usam arquivos de documentos transformados em armas como um vetor inicial de comprometimento. Os documentos são projetados para executar métodos de infecção sofisticados que tornam a detecção significativamente mais difícil. Embora, na maioria dos casos, um documento Microsoft Word como arma tenha sido entregue às vítimas, também há vários casos em que o Andariel Criminal Group recorreu a um arquivo corrompido disfarçado como um documento PDF. Após a execução, os documentos entregam a carga útil do segundo estágio - uma ameaça de malware responsável por estabelecer contato com os servidores de comando e controle (C2, C&C) e preparar o ambiente para a carga útil seguinte.

O malware de segundo estágio pode executar 5 funções específicas de acordo com os comandos que recebe do C2. Isso inclui definir um intervalo de suspensão, salvar todos os dados recebidos em um arquivo local, executar os dados recebidos por meio de CreateThread () e executar os comandos fornecidos por meio da API WinExec ou cmd.exe. No terceiro estágio do ataque, o Andariel Criminal Group implanta uma carga de backdoor na máquina da vítima. O backdoor é executado na operação de forma interativa e contém as versões x64 e x86. A ameaça tenta se disfarçar como Internet Explorer ou Google Chrome usando seus ícones e nomes de arquivo associados. A ameaça de terceiro estágio verifica o sistema comprometido em busca de sinais de um ambiente de área restrita. Ele verifica a presença de módulos específicos pertencentes ao Sandboxie e ao SunBelt SandBox.

Em uma única vítima, o Andariel Criminal Group escalou o ataque, eliminando uma ameaça de ransomware customizada. O malware usa um algoritmo de modo CBC AES-128 para criptografar todos os arquivos, independentemente de seu tamanho, com exceção de extensões críticas do sistema, como '.exe,' '.dll,' '.sys,' '.msiins' e ' .drv. ' A extensão padrão anexada aos arquivos bloqueados é '.3nc004' e esse é também o nome dado ao arquivo de texto que contém a nota de resgate. O texto da nota revela que os hackers querem receber um resgate pago em bitcoin e se oferecem para descriptografar dois arquivos gratuitamente.