Andariel క్రిమినల్ గ్రూప్

Andariel క్రిమినల్ గ్రూప్ అనేది రాష్ట్ర-ప్రాయోజిత ముప్పు నటుడు, ఇది దక్షిణ కొరియాలో ఉన్న టార్గెటింగ్ ఎంటిటీలపై నిరంతర దృష్టిని చూపుతుంది. సైబర్ నేరస్థులు కూడా తమ కార్యకలాపాలకు ఆర్థికంగా ప్రేరేపించబడిన వైపు ప్రదర్శించారు. ఇంతకుముందు, సమూహం నేరుగా దక్షిణ కొరియాలోని ATMలను లక్ష్యంగా చేసుకుంది, అయితే గ్రూప్‌కు ఆపాదించబడిన తాజా తీవ్రమైన దాడిలో, హ్యాకర్లు వారి బాధితుల్లో ఒకరికి ransomware బెదిరింపును మోహరించారు. కొరియన్ ఫైనాన్షియల్ సెక్యూరిటీ ఇన్‌స్టిట్యూట్ ద్వారా ఆండారియల్ క్రిమినల్ గ్రూప్‌ను లాజరస్ APT (అడ్వాన్స్‌డ్ పెర్సిస్టెంట్ థ్రెట్) గ్రూప్‌లో సబ్-గ్రూప్‌గా నియమించినట్లు గమనించాలి.

ఇప్పటివరకు Andariel క్రిమినల్ గ్రూప్ బాధితులు ప్రతి ఇతర మధ్య తక్కువ సంబంధాలు చూపించు. ప్రతి బాధితుడు ఇతర లక్షిత సంస్థలతో స్పష్టమైన లింక్‌లు లేకుండా, వారి సంబంధిత నిలువు వరుసలలో చురుకుగా ఉన్నారు. తయారీ, మీడియా, నిర్మాణం మరియు హోమ్ నెట్‌వర్క్ సేవా రంగాలలో పనిచేస్తున్న సమూహం యొక్క బాధితులను ఇన్ఫోసెక్ పరిశోధకులు కనుగొన్నారు.

ఒక కాంప్లెక్స్ అటాక్ చైన్

Andariel క్రిమినల్ గ్రూప్ నిర్వహించిన కార్యకలాపాలు అభివృద్ధి చెందుతూ మరింత క్లిష్టంగా మారాయి. తాజా గమనించిన ప్రచారం బహుళ ప్రత్యేక పాడైన పేలోడ్‌లను కలిగి ఉంటుంది, ప్రతి ఒక్కటి దాడి యొక్క ప్రత్యేక దశలో అమలు చేయబడుతుంది. హ్యాకర్లు ఆయుధాలతో కూడిన డాక్యుమెంట్ ఫైల్‌లను రాజీ యొక్క ప్రారంభ వెక్టర్‌గా ఉపయోగిస్తారు. గుర్తించడం కష్టతరం చేసే అధునాతన ఇన్‌ఫెక్షన్ పద్ధతులను అమలు చేయడానికి పత్రాలు రూపొందించబడ్డాయి. చాలా సందర్భాలలో, ఆయుధీకరించబడిన మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్ బాధితులకు డెలివరీ చేయబడినప్పటికీ, Andariel క్రిమినల్ గ్రూప్ PDF పత్రం వలె మారువేషంలో ఉన్న పాడైన ఫైల్‌ను ఆశ్రయించిన అనేక సందర్భాలు కూడా ఉన్నాయి. అమలు చేసిన తర్వాత, పత్రాలు రెండవ దశ పేలోడ్‌ను బట్వాడా చేస్తాయి - కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్‌లతో పరిచయాన్ని ఏర్పరచడానికి మరియు తదుపరి పేలోడ్ కోసం వాతావరణాన్ని సిద్ధం చేయడానికి బాధ్యత వహించే మాల్వేర్ ముప్పు.

రెండవ-దశ మాల్వేర్ C2 నుండి స్వీకరించే ఆదేశాల ప్రకారం 5 నిర్దిష్ట విధులను నిర్వహించగలదు. వీటిలో స్లీప్ ఇంటర్వెల్ సెట్ చేయడం, స్థానిక ఫైల్‌లో ఏదైనా స్వీకరించిన డేటాను సేవ్ చేయడం, క్రియేట్‌థ్రెడ్() ద్వారా స్వీకరించిన డేటాను అమలు చేయడం మరియు ఇచ్చిన ఆదేశాలను WinExec API లేదా cmd.exe ద్వారా అమలు చేయడం వంటివి ఉన్నాయి. దాడి యొక్క మూడవ దశలో, Andariel క్రిమినల్ గ్రూప్ బాధితుడి యంత్రంపై బ్యాక్‌డోర్ పేలోడ్‌ను మోహరిస్తుంది. బ్యాక్‌డోర్ ఇంటరాక్టివ్‌గా ఆపరేషన్‌లో అమలు చేయబడుతుంది మరియు x64 మరియు x86 వెర్షన్‌లను కలిగి ఉంటుంది. బెదిరింపు వారి చిహ్నాలు మరియు అనుబంధిత ఫైల్ పేర్లను ఉపయోగించడం ద్వారా ఇంటర్నెట్ ఎక్స్‌ప్లోరర్ లేదా Google Chrome వలె మారువేషంలో ప్రయత్నిస్తుంది. మూడవ-దశ ముప్పు శాండ్‌బాక్స్ వాతావరణం యొక్క సంకేతాల కోసం రాజీపడిన సిస్టమ్‌ను స్కాన్ చేస్తుంది. ఇది శాండ్‌బాక్సీ మరియు సన్‌బెల్ట్ శాండ్‌బాక్స్‌కు చెందిన నిర్దిష్ట మాడ్యూల్స్ ఉనికిని తనిఖీ చేస్తుంది.

ఒక బాధితుడిపై, Andariel క్రిమినల్ గ్రూప్ కస్టమ్-మేడ్ ransomware బెదిరింపును వదలడం ద్వారా దాడిని పెంచింది. మాల్వేర్ '.exe,' '.dll,' '.sys,' '.msiins,' మరియు ' వంటి సిస్టమ్-క్లిష్టమైన పొడిగింపులను మినహాయించి, వాటి పరిమాణంతో సంబంధం లేకుండా అన్ని ఫైల్‌లను గుప్తీకరించడానికి AES-128 CBC మోడ్ అల్గారిథమ్‌ను ఉపయోగిస్తుంది. .drv.' లాక్ చేయబడిన ఫైల్‌లకు అనుబంధించబడిన డిఫాల్ట్ పొడిగింపు '.3nc004' మరియు రాన్సమ్ నోట్‌ని కలిగి ఉన్న టెక్స్ట్ ఫైల్‌కు కూడా అదే పేరు. హ్యాకర్లు బిట్‌కాయిన్‌లో చెల్లించిన విమోచన క్రయధనాన్ని స్వీకరించాలనుకుంటున్నారని మరియు వారు రెండు ఫైల్‌లను ఉచితంగా డీక్రిప్ట్ చేయడానికి ఆఫర్ చేస్తారని నోట్ యొక్క టెక్స్ట్ వెల్లడిస్తుంది.