Andariel Criminal Group
Ang Andariel Criminal Group ay isang aktor ng pagbabanta na inisponsor ng estado na nagpakita ng patuloy na pagtuon sa pag-target sa mga entity na matatagpuan sa South Korea. Nagpakita rin ang mga cybercriminal ng financially motivated side sa kanilang mga operasyon. Dati, direktang tinutukan ng grupo ang mga ATM sa South Korea, habang sa pinakahuling seryosong pag-atake na nauugnay sa grupo, ang mga hacker ay nag-deploy ng banta ng ransomware sa isa sa kanilang mga biktima. Dapat tandaan na ang Andarial Criminal Group ay itinalaga bilang isang sub-group ng Lazarus APT (Advanced Persistent Threat) na grupo ng Korean Financial Security Institute.
Sa ngayon ang mga biktima ng Andariel Criminal Group ay nagpapakita ng maliit na koneksyon sa pagitan ng bawat isa. Ang bawat biktima ay naging aktibo sa kani-kanilang mga vertical, nang walang malinaw na mga link sa alinman sa iba pang mga target na entity. Natuklasan ng mga mananaliksik ng Infosec ang mga biktima ng grupong nagtatrabaho sa mga sektor ng pagmamanupaktura, media, konstruksiyon, at serbisyo sa home network.
Isang Complex Attack Chain
Ang mga operasyong isinagawa ng Andariel Criminal Group ay patuloy na umuunlad at naging mas kumplikado. Ang pinakahuling naobserbahang campaign ay binubuo ng maramihang mga espesyal na sirang payload, bawat isa ay naka-deploy sa isang hiwalay na yugto ng pag-atake. Gumagamit ang mga hacker ng mga file ng dokumentong may sandata bilang isang paunang vector ng kompromiso. Ang mga dokumento ay idinisenyo upang magsagawa ng mga sopistikadong paraan ng impeksyon na nagpapahirap sa pagtuklas. Bagama't sa karamihan ng mga kaso, ang isang sandatahang dokumento ng Microsoft Word ay inihatid sa mga biktima, mayroon ding ilang mga pagkakataon kung saan ang Andariel Criminal Group ay gumamit ng isang sirang file na itinago bilang isang PDF doc. Sa pagpapatupad, ang mga dokumento ay naghahatid ng pangalawang yugto ng payload - isang banta ng malware na responsable para sa pakikipag-ugnayan sa mga server ng Command-and-Control (C2, C&C) at paghahanda ng kapaligiran para sa susunod na kargamento.
Ang pangalawang yugto ng malware ay maaaring magsagawa ng 5 partikular na function ayon sa mga utos na natatanggap nito mula sa C2. Kabilang dito ang pagtatakda ng Sleep interval, pag-save ng anumang natanggap na data sa isang lokal na file, pagpapatupad ng natanggap na data sa pamamagitan ng CreateThread(), at pagpapatupad ng mga ibinigay na command sa pamamagitan ng WinExec API o cmd.exe. Sa ikatlong yugto ng pag-atake, ang Andariel Criminal Group ay nag-deploy ng backdoor payload sa makina ng biktima. Ang backdoor ay isinasagawa sa operasyon nang interactive at naglalaman ng mga bersyon ng x64 at x86. Sinusubukan ng banta na itago ang sarili bilang Internet Explorer o Google Chrome sa pamamagitan ng paggamit ng kanilang mga icon at nauugnay na mga pangalan ng file. Ang banta sa ikatlong yugto ay sinusuri ang nakompromisong sistema para sa mga senyales ng isang sandbox na kapaligiran. Sinusuri nito ang pagkakaroon ng mga partikular na module na kabilang sa Sandboxie at SunBelt SandBox.
Sa isang biktima, pinalaki ng Andariel Criminal Group ang pag-atake sa pamamagitan ng pag-drop ng custom-made na banta sa ransomware. Gumagamit ang malware ng algorithm ng AES-128 CBC mode upang i-encrypt ang lahat ng file anuman ang laki ng mga ito maliban sa mga extension na kritikal sa system tulad ng '.exe,' '.dll,' '.sys,' '.msiins,' at ' .drv.' Ang default na extension na nakadugtong sa mga naka-lock na file ay '.3nc004' at iyon din ang pangalan na ibinigay sa text file na may dalang ransom note. Ang teksto ng tala ay nagpapakita na ang mga hacker ay gustong makatanggap ng ransom na binayaran sa bitcoin at nag-aalok sila upang i-decrypt ang dalawang file nang libre.
