Zločinecká skupina Andariel

Andariel Criminal Group je štátom podporovaný aktér hrozieb, ktorý sa neustále zameriava na zacielenie na subjekty nachádzajúce sa v Južnej Kórei. Kyberzločinci tiež prejavili finančne motivovanú stránku svojich operácií. Predtým sa skupina zamerala priamo na bankomaty v Južnej Kórei, zatiaľ čo pri poslednom vážnom útoku pripisovanom skupine hackeri nasadili jednu zo svojich obetí ransomvérovú hrozbu. Je potrebné poznamenať, že skupina Andarial Criminal Group bola označená ako podskupina skupiny Lazarus APT (Advanced Persistent Threat) Kórejským inštitútom pre finančnú bezpečnosť.

Obete zločineckej skupiny Andariel zatiaľ medzi sebou vykazujú len malé prepojenie. Každá obeť bola aktívna vo svojich príslušných vertikálach bez jasného prepojenia na iné cieľové subjekty. Výskumníci spoločnosti Infosec objavili obete skupiny pracujúcej vo výrobe, médiách, stavebníctve a sektoroch domácich sieťových služieb.

Komplexný útočný reťazec

Operácie vykonávané skupinou Andariel Criminal Group sa naďalej vyvíjali a stali sa komplexnejšími. Posledná pozorovaná kampaň pozostáva z viacerých špecializovaných poškodených nákladov, z ktorých každý je nasadený v samostatnej fáze útoku. Hackeri používajú súbory dokumentov so zbraňami ako počiatočný vektor kompromisu. Dokumenty sú navrhnuté tak, aby vykonávali sofistikované metódy infekcie, ktoré výrazne sťažujú detekciu. Zatiaľ čo vo väčšine prípadov bol obetiam doručený dokument Microsoft Word so zbraňami, existuje aj niekoľko prípadov, keď sa zločinecká skupina Andariel uchýlila k poškodenému súboru maskovanému ako dokument PDF. Po spustení doručia dokumenty druhú fázu užitočného zaťaženia – malvérovú hrozbu zodpovednú za nadviazanie kontaktu so servermi Command-and-Control (C2, C&C) a prípravu prostredia na ďalšie užitočné zaťaženie.

Malvér druhej fázy môže vykonávať 5 špecifických funkcií podľa príkazov, ktoré dostane z C2. Medzi ne patrí nastavenie intervalu spánku, uloženie prijatých údajov do lokálneho súboru, spustenie prijatých údajov cez CreateThread() a spustenie daných príkazov buď cez WinExec API alebo cmd.exe. V tretej fáze útoku zločinecká skupina Andariel nasadí backdoor užitočné zaťaženie na stroj obete. Zadné vrátka sa v prevádzke vykonávajú interaktívne a obsahujú verzie x64 a x86. Hrozba sa pokúša zamaskovať ako Internet Explorer alebo Google Chrome pomocou ich ikon a súvisiacich názvov súborov. Hrozba tretej fázy skenuje kompromitovaný systém, či neobsahuje známky prostredia karantény. Kontroluje prítomnosť špecifických modulov patriacich Sandboxie a SunBelt SandBox.

Na jedinú obeť eskalovala skupina Andariel Criminal Group útok tým, že upustila od na mieru vyrobenej hrozby ransomvéru. Malvér používa algoritmus režimu CBC AES-128 na šifrovanie všetkých súborov bez ohľadu na ich veľkosť, s výnimkou systémových rozšírení, ako sú „.exe“, „.dll“, „.sys“, „.msiins“ a „. .drv.' Predvolená prípona pripojená k zamknutým súborom je „.3nc004“ a to je tiež názov pridelený textovému súboru s výkupným. Text poznámky prezrádza, že hackeri chcú dostať výkupné zaplatené v bitcoinoch a ponúkajú bezplatné dešifrovanie dvoch súborov.