Nhóm tội phạm Andariel
Nhóm tội phạm Andariel là một tổ chức đe dọa được nhà nước bảo trợ đã thể hiện sự tập trung liên tục vào việc nhắm mục tiêu vào các thực thể ở Hàn Quốc. Tội phạm mạng cũng thể hiện khía cạnh động cơ tài chính trong hoạt động của chúng. Trước đó, nhóm này đã nhắm trực tiếp vào các máy ATM ở Hàn Quốc, trong khi trong vụ tấn công nghiêm trọng mới nhất do nhóm này gây ra, các tin tặc đã triển khai một mối đe dọa ransomware đối với một trong những nạn nhân của chúng. Cần lưu ý rằng Nhóm tội phạm Andarial đã được chỉ định là một nhóm phụ của nhóm Lazarus APT (Mối đe dọa liên tục nâng cao) bởi Viện An ninh Tài chính Hàn Quốc.
Cho đến nay các nạn nhân của Nhóm tội phạm Andariel cho thấy rất ít mối liên hệ giữa nhau. Mỗi nạn nhân đã hoạt động trong ngành dọc tương ứng của họ, không có liên kết rõ ràng với bất kỳ thực thể được nhắm mục tiêu nào khác. Các nhà nghiên cứu của Infosec đã phát hiện ra các nạn nhân của nhóm này làm việc trong các lĩnh vực sản xuất, truyền thông, xây dựng và dịch vụ mạng gia đình.
Một chuỗi tấn công phức tạp
Các hoạt động do Nhóm tội phạm Andariel thực hiện đã tiếp tục phát triển và trở nên phức tạp hơn. Chiến dịch mới nhất được quan sát bao gồm nhiều trọng tải bị hỏng chuyên biệt, mỗi trọng tải được triển khai trong một giai đoạn riêng biệt của cuộc tấn công. Các tin tặc sử dụng các tệp tài liệu được vũ khí hóa như một vectơ thỏa hiệp ban đầu. Các tài liệu được thiết kế để thực hiện các phương pháp lây nhiễm tinh vi khiến việc phát hiện khó hơn đáng kể. Mặc dù trong hầu hết các trường hợp, một tài liệu Microsoft Word được vũ khí hóa đã được gửi đến các nạn nhân, nhưng cũng có một số trường hợp Nhóm tội phạm Andariel sử dụng một tệp bị hỏng được ngụy trang dưới dạng tài liệu PDF. Khi thực thi, các tài liệu sẽ phân phối tải trọng giai đoạn hai - một mối đe dọa phần mềm độc hại chịu trách nhiệm thiết lập liên hệ với máy chủ Command-and-Control (C2, C&C) và chuẩn bị môi trường cho lần tải tiếp theo.
Phần mềm độc hại giai đoạn hai có thể thực hiện 5 chức năng cụ thể theo các lệnh mà nó nhận được từ C2. Chúng bao gồm đặt khoảng thời gian Ngủ, lưu mọi dữ liệu đã nhận vào tệp cục bộ, thực thi dữ liệu đã nhận qua CreateThread () và thực hiện các lệnh đã cho qua WinExec API hoặc cmd.exe. Trong giai đoạn thứ ba của cuộc tấn công, Nhóm tội phạm Andariel triển khai tải trọng cửa sau lên máy của nạn nhân. Cửa hậu được thực thi trong hoạt động một cách tương tác và chứa các phiên bản x64 và x86. Mối đe dọa cố gắng ngụy trang thành Internet Explorer hoặc Google Chrome bằng cách sử dụng các biểu tượng và tên tệp liên quan của chúng. Mối đe dọa ở giai đoạn thứ ba quét hệ thống bị xâm nhập để tìm các dấu hiệu của môi trường hộp cát. Nó kiểm tra sự hiện diện của các mô-đun cụ thể thuộc Sandboxie và SunBelt SandBox.
Trên một nạn nhân duy nhất, Nhóm tội phạm Andariel đã leo thang cuộc tấn công bằng cách đưa ra một mối đe dọa ransomware tùy chỉnh. Phần mềm độc hại sử dụng thuật toán chế độ AES-128 CBC để mã hóa tất cả các tệp bất kể kích thước của chúng ngoại trừ các phần mở rộng quan trọng hệ thống như '.exe,' '.dll,' '.sys,' '.msiins,' và ' .drv. ' Phần mở rộng mặc định được thêm vào các tệp bị khóa là '.3nc004' và đó cũng là tên được đặt cho tệp văn bản mang thông báo đòi tiền chuộc. Nội dung của ghi chú tiết lộ rằng các tin tặc muốn nhận một khoản tiền chuộc được trả bằng bitcoin và chúng đề nghị giải mã hai tệp miễn phí.
