Andariel క్రిమినల్ గ్రూప్
Andariel క్రిమినల్ గ్రూప్ అనేది రాష్ట్ర-ప్రాయోజిత ముప్పు నటుడు, ఇది దక్షిణ కొరియాలో ఉన్న టార్గెటింగ్ ఎంటిటీలపై నిరంతర దృష్టిని చూపుతుంది. సైబర్ నేరస్థులు కూడా తమ కార్యకలాపాలకు ఆర్థికంగా ప్రేరేపించబడిన వైపు ప్రదర్శించారు. ఇంతకుముందు, సమూహం నేరుగా దక్షిణ కొరియాలోని ATMలను లక్ష్యంగా చేసుకుంది, అయితే గ్రూప్కు ఆపాదించబడిన తాజా తీవ్రమైన దాడిలో, హ్యాకర్లు వారి బాధితుల్లో ఒకరికి ransomware బెదిరింపును మోహరించారు. కొరియన్ ఫైనాన్షియల్ సెక్యూరిటీ ఇన్స్టిట్యూట్ ద్వారా ఆండారియల్ క్రిమినల్ గ్రూప్ను లాజరస్ APT (అడ్వాన్స్డ్ పెర్సిస్టెంట్ థ్రెట్) గ్రూప్లో సబ్-గ్రూప్గా నియమించినట్లు గమనించాలి.
ఇప్పటివరకు Andariel క్రిమినల్ గ్రూప్ బాధితులు ప్రతి ఇతర మధ్య తక్కువ సంబంధాలు చూపించు. ప్రతి బాధితుడు ఇతర లక్షిత సంస్థలతో స్పష్టమైన లింక్లు లేకుండా, వారి సంబంధిత నిలువు వరుసలలో చురుకుగా ఉన్నారు. తయారీ, మీడియా, నిర్మాణం మరియు హోమ్ నెట్వర్క్ సేవా రంగాలలో పనిచేస్తున్న సమూహం యొక్క బాధితులను ఇన్ఫోసెక్ పరిశోధకులు కనుగొన్నారు.
ఒక కాంప్లెక్స్ అటాక్ చైన్
Andariel క్రిమినల్ గ్రూప్ నిర్వహించిన కార్యకలాపాలు అభివృద్ధి చెందుతూ మరింత క్లిష్టంగా మారాయి. తాజా గమనించిన ప్రచారం బహుళ ప్రత్యేక పాడైన పేలోడ్లను కలిగి ఉంటుంది, ప్రతి ఒక్కటి దాడి యొక్క ప్రత్యేక దశలో అమలు చేయబడుతుంది. హ్యాకర్లు ఆయుధాలతో కూడిన డాక్యుమెంట్ ఫైల్లను రాజీ యొక్క ప్రారంభ వెక్టర్గా ఉపయోగిస్తారు. గుర్తించడం కష్టతరం చేసే అధునాతన ఇన్ఫెక్షన్ పద్ధతులను అమలు చేయడానికి పత్రాలు రూపొందించబడ్డాయి. చాలా సందర్భాలలో, ఆయుధీకరించబడిన మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్ బాధితులకు డెలివరీ చేయబడినప్పటికీ, Andariel క్రిమినల్ గ్రూప్ PDF పత్రం వలె మారువేషంలో ఉన్న పాడైన ఫైల్ను ఆశ్రయించిన అనేక సందర్భాలు కూడా ఉన్నాయి. అమలు చేసిన తర్వాత, పత్రాలు రెండవ దశ పేలోడ్ను బట్వాడా చేస్తాయి - కమాండ్-అండ్-కంట్రోల్ (C2, C&C) సర్వర్లతో పరిచయాన్ని ఏర్పరచడానికి మరియు తదుపరి పేలోడ్ కోసం వాతావరణాన్ని సిద్ధం చేయడానికి బాధ్యత వహించే మాల్వేర్ ముప్పు.
రెండవ-దశ మాల్వేర్ C2 నుండి స్వీకరించే ఆదేశాల ప్రకారం 5 నిర్దిష్ట విధులను నిర్వహించగలదు. వీటిలో స్లీప్ ఇంటర్వెల్ సెట్ చేయడం, స్థానిక ఫైల్లో ఏదైనా స్వీకరించిన డేటాను సేవ్ చేయడం, క్రియేట్థ్రెడ్() ద్వారా స్వీకరించిన డేటాను అమలు చేయడం మరియు ఇచ్చిన ఆదేశాలను WinExec API లేదా cmd.exe ద్వారా అమలు చేయడం వంటివి ఉన్నాయి. దాడి యొక్క మూడవ దశలో, Andariel క్రిమినల్ గ్రూప్ బాధితుడి యంత్రంపై బ్యాక్డోర్ పేలోడ్ను మోహరిస్తుంది. బ్యాక్డోర్ ఇంటరాక్టివ్గా ఆపరేషన్లో అమలు చేయబడుతుంది మరియు x64 మరియు x86 వెర్షన్లను కలిగి ఉంటుంది. బెదిరింపు వారి చిహ్నాలు మరియు అనుబంధిత ఫైల్ పేర్లను ఉపయోగించడం ద్వారా ఇంటర్నెట్ ఎక్స్ప్లోరర్ లేదా Google Chrome వలె మారువేషంలో ప్రయత్నిస్తుంది. మూడవ-దశ ముప్పు శాండ్బాక్స్ వాతావరణం యొక్క సంకేతాల కోసం రాజీపడిన సిస్టమ్ను స్కాన్ చేస్తుంది. ఇది శాండ్బాక్సీ మరియు సన్బెల్ట్ శాండ్బాక్స్కు చెందిన నిర్దిష్ట మాడ్యూల్స్ ఉనికిని తనిఖీ చేస్తుంది.
ఒక బాధితుడిపై, Andariel క్రిమినల్ గ్రూప్ కస్టమ్-మేడ్ ransomware బెదిరింపును వదలడం ద్వారా దాడిని పెంచింది. మాల్వేర్ '.exe,' '.dll,' '.sys,' '.msiins,' మరియు ' వంటి సిస్టమ్-క్లిష్టమైన పొడిగింపులను మినహాయించి, వాటి పరిమాణంతో సంబంధం లేకుండా అన్ని ఫైల్లను గుప్తీకరించడానికి AES-128 CBC మోడ్ అల్గారిథమ్ను ఉపయోగిస్తుంది. .drv.' లాక్ చేయబడిన ఫైల్లకు అనుబంధించబడిన డిఫాల్ట్ పొడిగింపు '.3nc004' మరియు రాన్సమ్ నోట్ని కలిగి ఉన్న టెక్స్ట్ ఫైల్కు కూడా అదే పేరు. హ్యాకర్లు బిట్కాయిన్లో చెల్లించిన విమోచన క్రయధనాన్ని స్వీకరించాలనుకుంటున్నారని మరియు వారు రెండు ఫైల్లను ఉచితంగా డీక్రిప్ట్ చేయడానికి ఆఫర్ చేస్తారని నోట్ యొక్క టెక్స్ట్ వెల్లడిస్తుంది.