Преступная группа Андариэль

Андариэльская криминальная группа - спонсируемый государством субъект угроз, который постоянно уделяет внимание организациям, расположенным в Южной Корее. Киберпреступники также проявили финансовую мотивацию в своих операциях. Ранее группа напрямую нацелена на банкоматы в Южной Корее, а в последней серьезной атаке, приписываемой группе, хакеры применили угрозу вымогателя для одной из своих жертв. Следует отметить, что криминальная группа Andarial была определена Корейским институтом финансовой безопасности как подгруппа группы Lazarus APT (Advanced Persistent Threat).

Пока что жертвы преступной группы Андариэль мало связаны между собой. Каждая жертва проявляла активность в своих вертикалях, не имея четких связей с другими объектами-мишенями. Исследователи Infosec обнаружили жертв группы, работающей в сфере производства, средств массовой информации, строительства и обслуживания домашних сетей.

Сложная цепочка атак

Операции, проводимые преступной группой Андариэль, продолжали развиваться и становиться все более сложными. Последняя наблюдаемая кампания состоит из нескольких специализированных поврежденных полезных данных, каждая из которых развертывается на отдельном этапе атаки. Хакеры используют файлы с документами в виде оружия в качестве исходного вектора компрометации. Документы предназначены для применения изощренных методов заражения, которые значительно затрудняют обнаружение. Хотя в большинстве случаев жертвам доставляли вооруженный документ Microsoft Word, также есть несколько случаев, когда преступная группа Андариэль прибегала к поврежденному файлу, замаскированному под документ PDF. После выполнения документы доставляют полезную нагрузку второго уровня - угрозу вредоносного ПО, отвечающую за установление контакта с серверами Command-and-Control (C2, C&C) и подготовку среды для следующей полезной нагрузки.

Вредоносная программа второго уровня может выполнять 5 определенных функций в соответствии с командами, которые она получает от C2. К ним относятся установка интервала сна, сохранение любых полученных данных в локальном файле, выполнение полученных данных через CreateThread () и выполнение заданных команд либо через WinExec API, либо через cmd.exe. На третьем этапе атаки криминальная группа Андариэль размещает бэкдор на машине жертвы. Бэкдор выполняется в операции интерактивно и содержит версии x64 и x86. Угроза пытается замаскироваться под Internet Explorer или Google Chrome, используя их значки и связанные с ними имена файлов. Угроза третьего уровня сканирует скомпрометированную систему на предмет наличия «песочницы». Он проверяет наличие определенных модулей, принадлежащих Sandboxie и SunBelt SandBox.

Против одной жертвы криминальная группа Андариэль усилила атаку, отбросив специально созданную угрозу вымогателя. Вредоносная программа использует алгоритм режима CBC AES-128 для шифрования всех файлов независимо от их размера, за исключением критически важных для системы расширений, таких как «.exe», «.dll», «» .sys, «.msiins» и «. .drv. ' Расширение по умолчанию, добавляемое к заблокированным файлам, - «.3nc004», и это также имя, данное текстовому файлу, содержащему записку о выкупе. В тексте заметки говорится, что хакеры хотят получить выкуп в биткойнах и предлагают бесплатно расшифровать два файла.