Злочинна група Андаріель

Злочинна група Андаріель Опис

Злочинна група Andariel — спонсорована державою загрозлива особа, яка постійно зосереджується на націленні на організації, розташовані в Південній Кореї. Кіберзлочинці також продемонстрували фінансово вмотивовану сторону своїх операцій. Раніше група націлювалася безпосередньо на банкомати в Південній Кореї, тоді як під час останньої серйозної атаки, приписуваної групі, хакери розгорнули загрозу викупу для однієї зі своїх жертв. Слід зазначити, що злочинна група Andarial була визначена Корейським інститутом фінансової безпеки як підгрупа групи Lazarus APT (Advanced Persistent Threat).

Поки що жертви злочинної групи Андаріель виявляють незначні зв’язки між собою. Кожна жертва була активною у своїй відповідній вертикалі, без чітких зв’язків з будь-якими іншими цільовими організаціями. Дослідники Infosec виявили жертв угруповання, що працювало у виробництві, медіа, будівництві та сфері обслуговування домашніх мереж.

Складний ланцюг атаки

Операції, проведені злочинною групою Andariel, продовжували розвиватися та ставати все більш складними. Остання спостережувана кампанія складається з кількох спеціалізованих пошкоджених корисних даних, кожна з яких розгорнута на окремому етапі атаки. Хакери використовують озброєні файли документів як початковий вектор компромісу. Документи розроблені для застосування складних методів зараження, які значно ускладнюють виявлення. Хоча в більшості випадків жертвам доставляли озброєний документ Microsoft Word, є також кілька випадків, коли злочинна група Andariel вдалася до пошкодженого файлу, замаскованого під PDF-документ. Після виконання документи доставляють корисне навантаження другого етапу – загрозу шкідливого програмного забезпечення, яка відповідає за встановлення зв’язку з серверами командно-управління (C2, C&C) і підготовку середовища до наступного корисного навантаження.

Зловмисне програмне забезпечення другого рівня може виконувати 5 конкретних функцій відповідно до команд, які воно отримує від C2. Вони включають встановлення інтервалу сну, збереження будь-яких отриманих даних у локальному файлі, виконання отриманих даних через CreateThread() та виконання заданих команд через WinExec API або cmd.exe. На третьому етапі атаки злочинна група Andariel розгортає на машині жертви бекдор. Бекдор виконується в операції інтерактивно і містить версії x64 і x86. Загроза намагається замаскувати себе під Internet Explorer або Google Chrome, використовуючи їхні значки та пов’язані імена файлів. Загроза третього етапу сканує скомпрометовану систему на наявність ознак середовища пісочниці. Він перевіряє наявність певних модулів, що належать Sandboxie та SunBelt SandBox.

На одну жертву злочинна група Andariel ескалувала атаку, скинувши спеціально створене програмне забезпечення-викуп. Зловмисне програмне забезпечення використовує алгоритм режиму CBC AES-128 для шифрування всіх файлів незалежно від їх розміру, за винятком критичних системних розширень, таких як «.exe», «.dll», «.sys», «.msiins» і « .drv.' Розширення за замовчуванням, додане до заблокованих файлів, — «.3nc004», і це також назва текстового файлу, що містить записку про викуп. З тексту записки видно, що хакери хочуть отримати викуп, сплачений у біткойнах, і пропонують безкоштовно розшифрувати два файли.