Andariel Criminal Group

Andariel Criminal Group Opis

Andariel Criminal Group je akter groženj, ki ga sponzorira država, ki se še naprej osredotoča na ciljanje subjektov v Južni Koreji. Kibernetski kriminalci so pokazali tudi finančno motivirano stran svojega delovanja. Pred tem je skupina neposredno ciljala na bankomate v Južni Koreji, medtem ko so v zadnjem resnem napadu, ki so ga pripisali skupini, hekerji eni od svojih žrtev uporabili grožnjo z odkupno programsko opremo. Opozoriti je treba, da je Korejski inštitut za finančno varnost označil Andarial Criminal Group kot podskupino skupine Lazarus APT (Advanced Persistent Threat).

Doslej žrtve kriminalne skupine Andariel med seboj kažejo malo povezav. Vsaka žrtev je bila aktivna v svojih vertikalah, brez jasnih povezav s katerim koli drugim ciljnim subjektom. Raziskovalci Infosec so odkrili žrtve skupine, ki deluje v sektorju proizvodnje, medijev, gradbeništva in storitev domačega omrežja.

Kompleksna napadalna veriga

Operacije, ki jih izvaja kriminalna skupina Andariel, so se še naprej razvijale in postajale vse bolj zapletene. Zadnja opazovana kampanja je sestavljena iz več specializiranih poškodovanih tovorov, od katerih je vsak razporejen v ločeni fazi napada. Hekerji uporabljajo orožja dokumentne datoteke kot začetni vektor kompromisa. Dokumenti so zasnovani za izvajanje sofisticiranih metod okužbe, ki znatno otežijo odkrivanje. Medtem ko je bil v večini primerov žrtvam dostavljen oborožen dokument Microsoft Word, obstaja tudi več primerov, ko se je kriminalna skupina Andariel zatekla k poškodovani datoteki, prikriti kot dokument PDF. Po izvedbi dokumenti dostavijo koristno obremenitev druge stopnje - grožnjo zlonamerne programske opreme, ki je odgovorna za vzpostavitev stika s strežniki Command-and-Control (C2, C&C) in pripravo okolja za naslednjo koristno obremenitev.

Zlonamerna programska oprema druge stopnje lahko izvaja 5 posebnih funkcij glede na ukaze, ki jih prejme od C2. Ti vključujejo nastavitev intervala mirovanja, shranjevanje vseh prejetih podatkov v lokalno datoteko, izvajanje prejetih podatkov prek CreateThread() in izvajanje danih ukazov prek API-ja WinExec ali cmd.exe. V tretji fazi napada kriminalna skupina Andariel na žrtvin stroj razporedi tovor iz zalednih vrat. Backdoor se v operaciji izvaja interaktivno in vsebuje različice x64 in x86. Grožnja se poskuša prikriti kot Internet Explorer ali Google Chrome z uporabo njihovih ikon in povezanih imen datotek. Grožnja tretje stopnje pregleda ogroženi sistem za znake okolja peskovnika. Preverja prisotnost določenih modulov, ki pripadajo Sandboxie in SunBelt SandBox.

Na eno samo žrtev je kriminalna skupina Andariel stopnjevala napad tako, da je opustila grožnjo z odkupovalno programsko opremo po meri. Zlonamerna programska oprema uporablja algoritem načina AES-128 CBC za šifriranje vseh datotek ne glede na njihovo velikost, z izjemo sistemsko kritičnih razširitev, kot so '.exe,' .dll, '.sys', '.msiins' in ' .drv.' Privzeta pripona, dodana zaklenjenim datotekam, je '.3nc004' in to je tudi ime besedilne datoteke, ki vsebuje odkupnino. Besedilo obvestila razkriva, da hekerji želijo prejeti odkupnino, plačano v bitcoinih, in ponujajo brezplačno dešifriranje dveh datotek.