Andariel Criminal Group

Andariel Criminal Group är en statligt sponsrad hotaktör som har visat fortsatt fokus på att rikta sig till enheter i Sydkorea. Cyberbrottslingar har också visat en ekonomiskt motiverad sida i sin verksamhet. Tidigare har gruppen riktat in uttagsautomater i Sydkorea direkt, medan det senaste angreppssättet som tillskrevs gruppen utplacerade hackarna ett ransomware-hot mot ett av deras offer. Det bör noteras att Andarial Criminal Group har utsetts till en undergrupp till gruppen Lazarus APT (Advanced Persistent Threat) av Korean Financial Security Institute.

Hittills visar offren för Andariel Criminal Group små förbindelser mellan varandra. Varje offer har varit aktiv i sina respektive vertikaler, utan tydliga länkar till någon av de andra riktade enheterna. Infosec-forskare har upptäckt offer för den grupp som arbetar inom sektorerna tillverkning, media, konstruktion och hemnätverk.

En komplex attackkedja

De operationer som utförs av Andariel Criminal Group har fortsatt att utvecklas och bli mer komplexa. Den senaste observerade kampanjen består av flera specialiserade korrupta nyttolaster, var och en distribueras i ett separat skede av attacken. Hackarna använder beväpnade dokumentfiler som en initial kompromissvektor. Dokumenten är utformade för att genomföra sofistikerade infektionsmetoder som gör upptäckten svårare avsevärt. Medan i de flesta fall levererades ett beväpnat Microsoft Word-dokument till offren, det finns också flera fall där Andariel Criminal Group tillgripit en korrupt fil förklädd som en PDF-dokument. Vid körning levererar dokumenten nyttastegsbelastningen - ett skadligt hot som ansvarar för att skapa kontakt med Command-and-Control (C2, C&C) -servrarna och förbereda miljön för nästa nyttolast.

Det andra stegets skadliga program kan utföra 5 specifika funktioner enligt de kommandon den får från C2. Dessa inkluderar att ställa in ett vilolägesintervall, spara mottagen data i en lokal fil, exekvera mottagen data via CreateThread () och köra de givna kommandona antingen via WinExec API eller cmd.exe. I den tredje etappen av attacken distribuerar Andariel Criminal Group en bakdörr nyttolast på offrets maskin. Bakdörren körs interaktivt i operationen och innehåller x64- och x86-versioner. Hotet försöker dölja sig som Internet Explorer eller Google Chrome genom att använda deras ikoner och associerade filnamn. Tredje steget hotar det komprometterade systemet efter tecken på en sandlåda miljö. Den kontrollerar om det finns specifika moduler som tillhör Sandboxie och SunBelt SandBox.

På ett enda offer eskalerade Andariel Criminal Group attacken genom att släppa ett skräddarsydd hot mot ransomware. Skadlig kod använder en AES-128 CBC-lägesalgoritm för att kryptera alla filer oavsett storlek, med undantag för systemkritiska tillägg som '.exe', '.dll', '.sys,' '.msiins' och ' .drv. ' Standardtillägget som läggs till de låsta filerna är '.3nc004' och det är också namnet på den textfil som bär lösensedeln. Texten i anteckningen avslöjar att hackarna vill få en lösen som betalas i bitcoin och de erbjuder att dekryptera två filer gratis.