Andariel குற்றவியல் குழு

Andariel Criminal Group என்பது தென் கொரியாவில் அமைந்துள்ள நிறுவனங்களை குறிவைப்பதில் தொடர்ந்து கவனம் செலுத்தி வரும் அரசு நிதியுதவி பெற்ற அச்சுறுத்தல் நடிகர். சைபர் கிரைமினல்கள் தங்கள் செயல்பாடுகளுக்கு நிதி ரீதியாக ஊக்கமளிக்கும் பக்கத்தையும் காட்டியுள்ளனர். முன்னதாக, குழு தென் கொரியாவில் உள்ள ஏடிஎம்களை நேரடியாக குறிவைத்துள்ளது, அதே நேரத்தில் குழுவிற்குக் கூறப்பட்ட சமீபத்திய தீவிர தாக்குதலில், ஹேக்கர்கள் பாதிக்கப்பட்டவர்களில் ஒருவருக்கு ransomware அச்சுறுத்தலைப் பயன்படுத்தியுள்ளனர். கொரிய நிதிப் பாதுகாப்பு நிறுவனத்தால் லாசரஸ் APT (மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தல்) குழுவின் துணைக் குழுவாக Andarial கிரிமினல் குழு நியமிக்கப்பட்டுள்ளது என்பதைக் கவனத்தில் கொள்ள வேண்டும்.

இதுவரை Andariel குற்றவியல் குழுவின் பாதிக்கப்பட்டவர்கள் ஒருவருக்கொருவர் சிறிய தொடர்புகளைக் காட்டுகின்றனர். பாதிக்கப்பட்ட ஒவ்வொருவரும், இலக்கு வைக்கப்பட்ட பிற நிறுவனங்களுடன் தெளிவான இணைப்புகள் இல்லாமல், அந்தந்த செங்குத்துகளில் செயலில் உள்ளனர். உற்பத்தி, ஊடகம், கட்டுமானம் மற்றும் வீட்டு நெட்வொர்க் சேவைத் துறைகளில் பணிபுரியும் குழுவின் பாதிக்கப்பட்டவர்களை இன்ஃபோசெக் ஆராய்ச்சியாளர்கள் கண்டுபிடித்துள்ளனர்.

ஒரு சிக்கலான தாக்குதல் சங்கிலி

Andariel குற்றவியல் குழுவால் மேற்கொள்ளப்பட்ட நடவடிக்கைகள் தொடர்ந்து பரிணாம வளர்ச்சியடைந்து மிகவும் சிக்கலானதாக மாறியுள்ளன. சமீபத்திய கவனிக்கப்பட்ட பிரச்சாரம் பல சிறப்பு சிதைந்த பேலோடுகளைக் கொண்டுள்ளது, ஒவ்வொன்றும் தாக்குதலின் தனி கட்டத்தில் பயன்படுத்தப்படுகின்றன. ஹேக்கர்கள் சமரசத்தின் ஆரம்ப திசையனாக ஆயுதம் ஏந்திய ஆவணக் கோப்புகளைப் பயன்படுத்துகின்றனர். கண்டறிதலை கடினமாக்கும் அதிநவீன தொற்று முறைகளைச் செயல்படுத்த ஆவணங்கள் வடிவமைக்கப்பட்டுள்ளன. பெரும்பாலான சந்தர்ப்பங்களில், ஒரு ஆயுதமேந்திய மைக்ரோசாஃப்ட் வேர்ட் ஆவணம் பாதிக்கப்பட்டவர்களுக்கு வழங்கப்பட்டது, Andariel கிரிமினல் குழு ஒரு PDF ஆவணமாக மாறுவேடமிட்டு சிதைந்த கோப்பை நாடிய பல நிகழ்வுகளும் உள்ளன. செயல்படுத்தப்பட்டவுடன், ஆவணங்கள் இரண்டாம் நிலை பேலோடை வழங்குகின்றன - இது கட்டளை மற்றும் கட்டுப்பாடு (C2, C&C) சேவையகங்களுடன் தொடர்பை ஏற்படுத்துவதற்கும் அடுத்த பேலோடுக்கான சூழலைத் தயாரிப்பதற்கும் பொறுப்பான தீம்பொருள் அச்சுறுத்தலாகும்.

இரண்டாம் நிலை மால்வேர் C2 இலிருந்து பெறும் கட்டளைகளின்படி 5 குறிப்பிட்ட செயல்பாடுகளைச் செய்ய முடியும். ஸ்லீப் இடைவெளியை அமைப்பது, பெறப்பட்ட தரவை உள்ளூர் கோப்பில் சேமித்தல், பெறப்பட்ட தரவை CreateThread() மூலம் செயல்படுத்துதல் மற்றும் WinExec API அல்லது cmd.exe வழியாக கொடுக்கப்பட்ட கட்டளைகளை செயல்படுத்துதல் ஆகியவை இதில் அடங்கும். தாக்குதலின் மூன்றாவது கட்டத்தில், Andariel கிரிமினல் குழு பாதிக்கப்பட்டவரின் இயந்திரத்தில் பின்கதவு பேலோடை பயன்படுத்துகிறது. பின்கதவு செயல்பாட்டில் ஊடாடும் வகையில் செயல்படுத்தப்படுகிறது மற்றும் x64 மற்றும் x86 பதிப்புகளைக் கொண்டுள்ளது. அச்சுறுத்தல், இன்டர்நெட் எக்ஸ்ப்ளோரர் அல்லது கூகுள் குரோம் என மாறுவேடமிட்டு, அவற்றின் ஐகான்கள் மற்றும் தொடர்புடைய கோப்பு பெயர்களைப் பயன்படுத்துகிறது. மூன்றாம் கட்ட அச்சுறுத்தல், சாண்ட்பாக்ஸ் சூழலின் அறிகுறிகளுக்காக சமரசம் செய்யப்பட்ட அமைப்பை ஸ்கேன் செய்கிறது. இது Sandboxie மற்றும் SunBelt SandBox க்கு சொந்தமான குறிப்பிட்ட தொகுதிகள் இருப்பதை சரிபார்க்கிறது.

ஒரு பாதிக்கப்பட்டவரின் மீது, அண்டரியல் கிரிமினல் குழு தனிப்பயனாக்கப்பட்ட ransomware அச்சுறுத்தலைக் கைவிடுவதன் மூலம் தாக்குதலை அதிகரித்தது. '.exe,' '.dll,' '.sys,' '.msiins,' மற்றும் ' போன்ற சிஸ்டத்தின் முக்கியமான நீட்டிப்புகளைத் தவிர்த்து, எல்லா கோப்புகளையும் அவற்றின் அளவைப் பொருட்படுத்தாமல் குறியாக்க AES-128 CBC பயன்முறை அல்காரிதத்தை தீம்பொருள் பயன்படுத்துகிறது. .drv.' பூட்டப்பட்ட கோப்புகளுடன் இணைக்கப்பட்ட இயல்புநிலை நீட்டிப்பு '.3nc004' ஆகும், மேலும் இது மீட்கும் குறிப்பைக் கொண்டிருக்கும் உரைக் கோப்பிற்கு வழங்கப்படும் பெயராகும். குறிப்பின் உரை, ஹேக்கர்கள் பிட்காயினில் செலுத்தப்பட்ட மீட்கும் தொகையைப் பெற விரும்புகிறார்கள் மற்றும் அவர்கள் இரண்டு கோப்புகளை இலவசமாக டிக்ரிப்ட் செய்ய முன்வருகிறார்கள்.