Andariel Criminal Group

Andariel Criminal Group คำอธิบาย

Andariel Criminal Group เป็นผู้คุกคามที่ได้รับการสนับสนุนจากรัฐ ซึ่งได้แสดงให้เห็นถึงการมุ่งเน้นอย่างต่อเนื่องที่การกำหนดเป้าหมายหน่วยงานที่ตั้งอยู่ในเกาหลีใต้ อาชญากรไซเบอร์ยังได้แสดงด้านที่มีแรงจูงใจทางการเงินในการดำเนินงานของพวกเขา ก่อนหน้านี้ กลุ่มได้กำหนดเป้าหมายไปที่ตู้เอทีเอ็มในเกาหลีใต้โดยตรง ในขณะที่การโจมตีที่รุนแรงครั้งล่าสุดนี้มาจากกลุ่ม แฮกเกอร์ได้ปรับใช้ภัยคุกคามแรนซัมแวร์กับหนึ่งในเหยื่อของพวกเขา ควรสังเกตว่า Andarial Criminal Group ถูกกำหนดให้เป็นกลุ่มย่อยของกลุ่ม Lazarus APT (Advanced Persistent Threat) โดยสถาบันความมั่นคงทางการเงินของเกาหลี

จนถึงตอนนี้ เหยื่อของ Andariel Criminal Group แสดงความเชื่อมโยงระหว่างกันเพียงเล็กน้อย เหยื่อแต่ละรายมีความเคลื่อนไหวในแนวดิ่งของตน โดยไม่มีการเชื่อมโยงที่ชัดเจนไปยังหน่วยงานเป้าหมายอื่นๆ นักวิจัยของ Infosec ค้นพบเหยื่อของกลุ่มที่ทำงานในภาคการผลิต สื่อ การก่อสร้าง และเครือข่ายภายในบ้าน

ห่วงโซ่การโจมตีที่ซับซ้อน

ปฏิบัติการที่ดำเนินการโดย Andariel Criminal Group มีวิวัฒนาการอย่างต่อเนื่องและซับซ้อนมากขึ้น แคมเปญที่สังเกตล่าสุดประกอบด้วยเพย์โหลดที่เสียหายเฉพาะทางหลายรายการ โดยแต่ละรายการจะนำไปใช้ในขั้นตอนการโจมตีที่แยกจากกัน แฮกเกอร์ใช้ไฟล์เอกสารที่มีอาวุธเป็นเวกเตอร์เริ่มต้นของการประนีประนอม เอกสารนี้ได้รับการออกแบบมาเพื่อใช้วิธีการติดไวรัสที่ซับซ้อนซึ่งทำให้การตรวจจับยากขึ้นอย่างเห็นได้ชัด ในกรณีส่วนใหญ่ เอกสาร Microsoft Word ติดอาวุธถูกส่งไปยังเหยื่อ นอกจากนี้ยังมีหลายกรณีที่ Andariel Criminal Group ใช้ไฟล์ที่เสียหายซึ่งปลอมแปลงเป็นเอกสาร PDF เมื่อดำเนินการ เอกสารจะส่งมอบเพย์โหลดขั้นที่สอง ซึ่งเป็นภัยคุกคามจากมัลแวร์ที่รับผิดชอบในการติดต่อกับเซิร์ฟเวอร์ Command-and-Control (C2, C&C) และเตรียมสภาพแวดล้อมสำหรับเพย์โหลดถัดไป

มัลแวร์ขั้นที่สองสามารถทำหน้าที่เฉพาะ 5 อย่างตามคำสั่งที่ได้รับจาก C2 ซึ่งรวมถึงการตั้งค่าช่วงพักเครื่อง บันทึกข้อมูลที่ได้รับในไฟล์ในเครื่อง ดำเนินการข้อมูลที่ได้รับผ่าน CreateThread() และดำเนินการคำสั่งที่กำหนดผ่าน WinExec API หรือ cmd.exe ในขั้นตอนที่สามของการโจมตี Andariel Criminal Group ปรับใช้ข้อมูลลับๆ บนเครื่องของเหยื่อ แบ็คดอร์จะดำเนินการในการดำเนินการแบบโต้ตอบและมีเวอร์ชัน x64 และ x86 ภัยคุกคามพยายามปลอมตัวเป็น Internet Explorer หรือ Google Chrome โดยใช้ไอคอนและชื่อไฟล์ที่เกี่ยวข้อง ภัยคุกคามระยะที่สามจะสแกนระบบที่ถูกบุกรุกเพื่อหาสัญญาณของสภาพแวดล้อมแบบแซนด์บ็อกซ์ จะตรวจสอบการมีอยู่ของโมดูลเฉพาะที่เป็นของ Sandboxie และ SunBelt SandBox

สำหรับเหยื่อรายเดียว Andariel Criminal Group ได้เพิ่มการโจมตีด้วยการปล่อยภัยคุกคามแรนซัมแวร์แบบกำหนดเอง มัลแวร์ใช้อัลกอริธึมโหมด AES-128 CBC เพื่อเข้ารหัสไฟล์ทั้งหมดโดยไม่คำนึงถึงขนาด ยกเว้นส่วนขยายที่มีความสำคัญต่อระบบ เช่น '.exe' '.dll' '.sys' '.msiins' และ ' .drv.' นามสกุลเริ่มต้นที่ต่อท้ายไฟล์ที่ถูกล็อคคือ '.3nc004' และนั่นเป็นชื่อที่กำหนดให้กับไฟล์ข้อความที่มีบันทึกค่าไถ่ ข้อความในบันทึกย่อเปิดเผยว่าแฮกเกอร์ต้องการรับค่าไถ่ที่ชำระเป็น bitcoin และเสนอให้ถอดรหัสไฟล์สองไฟล์ฟรี