Grupul Criminal Andariel

Andariel Criminal Group este un actor de amenințări sponsorizat de stat care și-a arătat concentrarea continuă asupra țintirii entităților situate în Coreea de Sud. Infractorii cibernetici au arătat, de asemenea, o latură motivată financiar în operațiunile lor. Anterior, grupul a vizat în mod direct bancomatele din Coreea de Sud, în timp ce în ultimul atac grav atribuit grupului, hackerii au implementat o amenințare ransomware asupra uneia dintre victimele lor. Trebuie remarcat faptul că Andarial Criminal Group a fost desemnat ca un subgrup al grupului Lazarus APT (Advanced Persistent Threat) de către Institutul Coreean de Securitate Financiară.

Până acum, victimele Grupului Criminal Andariel arată puține legături între ele. Fiecare victimă a fost activă în verticalele lor respective, fără legături clare cu oricare dintre celelalte entități vizate. Cercetătorii Infosec au descoperit victime ale grupului care lucrează în sectoarele de producție, mass-media, construcții și servicii de rețea la domiciliu.

Un lanț de atac complex

Operațiunile desfășurate de Grupul Criminal Andariel au continuat să evolueze și să devină mai complexe. Cea mai recentă campanie observată constă în mai multe sarcini utile corupte specializate, fiecare desfășurată într-o etapă separată a atacului. Hackerii folosesc fișiere de documente cu arme ca un vector inițial de compromis. Documentele sunt concepute pentru a efectua metode sofisticate de infecție care îngreunează semnificativ detectarea. În timp ce în cele mai multe cazuri, un document Microsoft Word înarmat a fost livrat victimelor, există și câteva cazuri în care Grupul Criminal Andariel a recurs la un fișier corupt deghizat în document PDF. La execuție, documentele livrează a doua etapă a încărcăturii - o amenințare malware responsabilă pentru stabilirea contactului cu serverele Command-and-Control (C2, C&C) și pregătirea mediului pentru următoarea încărcare utilă.

Malware-ul din a doua etapă poate îndeplini 5 funcții specifice în funcție de comenzile pe care le primește de la C2. Acestea includ setarea unui interval de repaus, salvarea oricăror date primite într-un fișier local, executarea datelor primite prin CreateThread() și executarea comenzilor date fie prin WinExec API, fie prin cmd.exe. În a treia etapă a atacului, Grupul Criminal Andariel desfășoară o încărcătură utilă din spate pe mașina victimei. Ușa din spate este executată în operațiune în mod interactiv și conține versiuni x64 și x86. Amenințarea încearcă să se deghizeze în Internet Explorer sau Google Chrome utilizând pictogramele acestora și numele fișierelor asociate. Amenințarea din a treia etapă scanează sistemul compromis pentru semne de mediu sandbox. Verifică prezența unor module specifice aparținând Sandboxie și SunBelt SandBox.

Asupra unei singure victime, Andariel Criminal Group a escaladat atacul prin eliminarea unei amenințări ransomware personalizate. Programul malware folosește un algoritm AES-128 CBC pentru a cripta toate fișierele, indiferent de dimensiunea lor, cu excepția extensiilor critice pentru sistem, cum ar fi „.exe”, „.dll,” „.sys”, „.msiins” și „ .drv.' Extensia implicită atașată fișierelor blocate este „.3nc004” și acesta este, de asemenea, numele dat fișierului text care poartă nota de răscumpărare. Textul notei dezvăluie că hackerii vor să primească o răscumpărare plătită în bitcoin și se oferă să decripteze două fișiere gratuit.