Grupi Kriminal Andariel

Grupi Kriminal Andariel

Grupi Kriminal Andariel është një aktor kërcënimi i sponsorizuar nga shteti që ka treguar fokus të vazhdueshëm në shënjestrimin e subjekteve të vendosura në Korenë e Jugut. Kriminelët kibernetikë gjithashtu kanë shfaqur një anë të motivuar financiarisht në operacionet e tyre. Më parë, grupi ka shënjestruar drejtpërdrejt ATM-të në Korenë e Jugut, ndërsa në sulmin më të fundit serioz që i atribuohet grupit, hakerët vendosën një kërcënim ransomware për një nga viktimat e tyre. Duhet theksuar se Grupi Kriminal Andarial është caktuar si nëngrup i grupit Lazarus APT (Kërcënimi i Përparuar i Përparuar) nga Instituti Korean i Sigurisë Financiare.

Deri tani viktimat e Grupit Kriminal Andariel tregojnë pak lidhje mes njëri-tjetrit. Secila viktimë ka qenë aktive në vertikalet e tyre përkatëse, pa lidhje të qarta me asnjë nga entitetet e tjera të synuara. Studiuesit e Infosec kanë zbuluar viktima të grupit që punonte në sektorët e prodhimit, medias, ndërtimit dhe shërbimit të rrjetit shtëpiak.

Një zinxhir kompleks sulmi

Operacionet e kryera nga Grupi Kriminal Andariel kanë vazhduar të evoluojnë dhe të bëhen më komplekse. Fushata e fundit e vëzhguar përbëhet nga ngarkesa të shumta të specializuara të korruptuara, secila e vendosur në një fazë të veçantë të sulmit. Hakerët përdorin skedarë dokumentesh të armatosur si një vektor fillestar kompromisi. Dokumentet janë krijuar për të kryer metoda të sofistikuara të infeksionit që e bëjnë zbulimin më të vështirë ndjeshëm. Ndërsa në shumicën e rasteve, një dokument i armatosur i Microsoft Word iu dorëzua viktimave, ka gjithashtu disa raste kur Grupi Kriminal Andariel përdori një skedar të korruptuar të maskuar si një dokument PDF. Pas ekzekutimit, dokumentet dorëzojnë ngarkesën e fazës së dytë - një kërcënim malware përgjegjës për vendosjen e kontaktit me serverët Command-and-Control (C2, C&C) dhe përgatitjen e mjedisit për ngarkesën e ardhshme.

Malware i fazës së dytë mund të kryejë 5 funksione specifike sipas komandave që merr nga C2. Këto përfshijnë vendosjen e një intervali Sleep, ruajtjen e të dhënave të marra në një skedar lokal, ekzekutimin e të dhënave të marra nëpërmjet CreateThread() dhe ekzekutimin e komandave të dhëna ose nëpërmjet WinExec API ose cmd.exe. Në fazën e tretë të sulmit, Grupi Kriminal Andariel vendos një ngarkesë me dyer të pasme në makinën e viktimës. Backdoor ekzekutohet në operacion në mënyrë interaktive dhe përmban versione x64 dhe x86. Kërcënimi përpiqet të maskohet si Internet Explorer ose Google Chrome duke përdorur ikonat e tyre dhe emrat e skedarëve të lidhur. Kërcënimi i fazës së tretë skanon sistemin e komprometuar për shenja të një mjedisi sandbox. Ai kontrollon për praninë e moduleve specifike që i përkasin Sandboxie dhe SunBelt SandBox.

Në një viktimë të vetme, Grupi Kriminal Andariel e përshkallëzoi sulmin duke hequr një kërcënim të bërë me porosi ransomware. Malware përdor një algoritëm të modalitetit AES-128 CBC për të enkriptuar të gjithë skedarët pavarësisht nga madhësia e tyre, me përjashtim të shtesave kritike për sistemin si ".exe", ".dll", ".sys", ".msiins" dhe " .drv.' Shtesa e parazgjedhur e bashkëngjitur skedarëve të kyçur është '.3nc004' dhe ky është gjithashtu emri i dhënë në skedarin e tekstit që mban shënimin e shpërblimit. Teksti i shënimit zbulon se hakerët duan të marrin një shpërblim të paguar në bitcoin dhe ata ofrojnë të deshifrojnë dy skedarë falas.

Në trend

Po ngarkohet...