Андариел Цриминал Гроуп
Андариел Цриминал Гроуп је актер претњи које спонзорише држава и који је показао континуирани фокус на циљање ентитета који се налазе у Јужној Кореји. Сајбер криминалци су такође показали финансијски мотивисану страну у својим операцијама. Раније је група директно циљала банкомате у Јужној Кореји, док су у последњем озбиљном нападу који се приписује групи, хакери су применили претњу рансомваре-а једној од својих жртава. Треба напоменути да је Корејски институт за финансијску безбедност одредио Андариал Цриминал Гроуп као подгрупу Лазарус АПТ (Адванцед Персистент Тхреат) групе.
До сада жртве Андариел криминалне групе показују мало међусобне везе. Свака жртва је била активна у својим вертикалама, без јасних веза са било којим другим циљаним ентитетима. Истраживачи Инфосец-а открили су жртве групе које раде у сектору производње, медија, грађевинарства и услуга кућне мреже.
Сложени ланац напада
Операције које спроводи Андариел криминална група наставиле су да се развијају и постају сложеније. Најновија примећена кампања се састоји од више специјализованих оштећених корисних терета, од којих је сваки распоређен у засебној фази напада. Хакери користе наоружане датотеке докумената као почетни вектор компромиса. Документи су дизајнирани да спроводе софистициране методе инфекције које значајно отежавају откривање. Иако је у већини случајева жртвама испоручен наоружани Мицрософт Ворд документ, постоји и неколико случајева у којима је Андариел криминална група прибегла оштећеном фајлу прерушеном у ПДФ документ. Након извршења, документи испоручују другу фазу корисног оптерећења - претњу од малвера одговорну за успостављање контакта са серверима за команду и контролу (Ц2, Ц&Ц) и припрему окружења за следећи корисни терет.
Малвер друге фазе може да обавља 5 специфичних функција у складу са командама које прима од Ц2. То укључује подешавање интервала мировања, чување примљених података у локалној датотеци, извршавање примљених података преко ЦреатеТхреад() и извршавање датих команди било преко ВинЕкец АПИ-ја или цмд.еке. У трећој фази напада, Андариел криминална група поставља помоћни терет на жртвину машину. Бацкдоор се у операцији извршава интерактивно и садржи к64 и к86 верзије. Претња покушава да се прикрије као Интернет Екплорер или Гоогле Цхроме коришћењем њихових икона и повезаних назива датотека. Претња треће фазе скенира компромитовани систем у потрази за знаковима окружења сандбок-а. Проверава присуство специфичних модула који припадају Сандбокие-у и СунБелт СандБок-у.
На једну жртву, Андариел Цриминал Гроуп је ескалирала напад тако што је избацила прилагођену претњу рансомваре-а. Злонамерни софтвер користи алгоритам АЕС-128 ЦБЦ режима за шифровање свих датотека без обзира на њихову величину са изузетком системски критичних екстензија као што су „.еке“, „.длл“, „.сис“, „.мсиинс“ и „ .дрв.' Подразумевана екстензија која се додаје закључаним датотекама је '.3нц004' и то је такође име дато текстуалној датотеци која носи белешку о откупнини. Текст белешке открива да хакери желе да добију откупнину плаћену у биткоинима и нуде бесплатно дешифровање две датотеке.
