Andariel Criminal Group

Andariel Suç Grubu, Güney Kore'de bulunan varlıkları hedef almaya odaklandığını gösteren devlet destekli bir tehdit aktörüdür. Siber suçlular ayrıca operasyonlarının finansal olarak motive edilmiş bir tarafını da sergilediler. Daha önce, grup doğrudan Güney Kore'deki ATM'leri hedef alırken, gruba atfedilen en son ciddi saldırıda, bilgisayar korsanları kurbanlarından birine bir fidye yazılımı tehdidi dağıttı. Andarial Suç Grubunun, Kore Mali Güvenlik Enstitüsü tarafından Lazarus APT (Gelişmiş Kalıcı Tehdit) grubunun bir alt grubu olarak belirlendiğine dikkat edilmelidir.

Şimdiye kadar Andariel Suç Grubunun kurbanları aralarında çok az bağlantı olduğunu gösteriyor. Her mağdur, hedeflenen diğer varlıklarla açık bağlantıları olmaksızın kendi sektörlerinde aktif olmuştur. Infosec araştırmacıları imalat, medya, inşaat ve ev ağı hizmet sektörlerinde çalışan grubun kurbanlarını keşfettiler.

Karmaşık Bir Saldırı Zinciri

Andariel Suç Grubu tarafından yürütülen operasyonlar gelişmeye ve daha karmaşık hale gelmeye devam etti. En son gözlemlenen kampanya, her biri saldırının ayrı bir aşamasında konuşlandırılan birden fazla özelleştirilmiş bozuk yükten oluşuyor. Bilgisayar korsanları, ilk uzlaşma vektörü olarak silahlı belge dosyalarını kullanır. Belgeler, algılamayı önemli ölçüde zorlaştıran karmaşık enfeksiyon yöntemlerini gerçekleştirmek üzere tasarlanmıştır. Çoğu durumda, kurbanlara silahlı bir Microsoft Word belgesi teslim edilmiş olsa da, Andariel Suç Grubu'nun bir PDF belgesi olarak gizlenmiş bozuk bir dosyaya başvurduğu birkaç örnek de var. Yürütüldükten sonra, belgeler ikinci aşama yükünü teslim eder - Komuta ve Kontrol (C2, C&C) sunucularıyla iletişim kurmaktan ve ortamı bir sonraki yük için hazırlamaktan sorumlu bir kötü amaçlı yazılım tehdidi.

İkinci aşama kötü amaçlı yazılım, C2'den aldığı komutlara göre 5 özel işlevi gerçekleştirebilir. Bunlara bir Uyku aralığının ayarlanması, alınan verilerin yerel bir dosyaya kaydedilmesi, alınan verilerin CreateThread() aracılığıyla yürütülmesi ve verilen komutların WinExec API veya cmd.exe aracılığıyla yürütülmesi dahildir. Saldırının üçüncü aşamasında, Andariel Suç Grubu kurbanın makinesine bir arka kapı yükü yerleştirir. Arka kapı, operasyonda etkileşimli olarak yürütülür ve x64 ve x86 sürümlerini içerir. Tehdit, simgelerini ve ilişkili dosya adlarını kullanarak kendisini Internet Explorer veya Google Chrome olarak gizlemeye çalışır. Üçüncü aşama tehdidi, güvenliği ihlal edilmiş sistemi bir sandbox ortamının işaretleri için tarar. Sandboxie ve SunBelt SandBox'a ait belirli modüllerin varlığını kontrol eder.

Tek bir kurbanda, Andariel Suç Grubu, özel yapım bir fidye yazılımı tehdidini bırakarak saldırıyı tırmandırdı. Kötü amaçlı yazılım, '.exe', ' '.dll,' '.sys,' '.msiins' ve ' gibi sistem açısından kritik uzantılar dışında, boyutları ne olursa olsun tüm dosyaları şifrelemek için bir AES-128 CBC modu algoritması kullanır. .drv.' Kilitli dosyalara eklenen varsayılan uzantı '.3nc004' ve fidye notunu taşıyan metin dosyasına verilen addır. Notun metni, bilgisayar korsanlarının bitcoin ile ödenen bir fidye almak istediklerini ve iki dosyanın şifresini ücretsiz olarak çözmeyi teklif ettiklerini ortaya koyuyor.