Andariel Criminal Group

Andariel Criminal Group說明

Andariel 犯罪集團是一個由國家支持的威脅行為者,一直專注於針對位於韓國的實體。網絡犯罪分子在其業務中也表現出出於經濟動機的一面。此前,該組織直接針對韓國的 ATM 機,而在該組織發起的最新嚴重攻擊中,黑客向其中一名受害者部署了勒索軟件威脅。應該指出的是,安達里亞犯罪集團已被韓國金融安全研究所指定為 Lazarus APT (高級持續威脅)集團的子集團。

到目前為止,安達利爾犯罪集團的受害者之間幾乎沒有任何联系。每個受害者都活躍在各自的垂直領域,與任何其他目標實體沒有明確的聯繫。信息安全研究人員已經發現了在製造、媒體、建築和家庭網絡服務部門工作的團體的受害者。

複雜的攻擊鏈

Andariel 犯罪集團開展的行動不斷演變並變得更加複雜。最新觀察到的活動由多個專門的損壞有效載荷組成,每個都部署在攻擊的單獨階段。黑客使用武器化文檔文件作為入侵的初始載體。這些文件旨在執行複雜的感染方法,使檢測變得更加困難。雖然在大多數情況下,會向受害者發送武器化的 Microsoft Word 文檔,但也有一些實例表明安達利爾犯罪集團使用偽裝成 PDF 文檔的損壞文件。執行後,這些文件會提供第二階段的有效載荷——一種惡意軟件威脅,負責與命令和控制(C2、C&C)服務器建立聯繫並為下一個有效載荷準備環境。

第二階段惡意軟件可以根據它從 C2 接收到的命令執行 5 個特定功能。這些包括設置睡眠間隔、將任何接收到的數據保存在本地文件中、通過 CreateThread() 執行接收到的數據以及通過 WinExec API 或 cmd.exe 執行給定的命令。在攻擊的第三階段,Andariel 犯罪集團將後門負載部署到受害者的機器上。後門在操作中交互執行,包含x64和x86版本。該威脅試圖通過使用 Internet Explorer 或 Google Chrome 的圖標和相關文件名將自己偽裝成 Internet Explorer 或 Google Chrome。第三階段威脅掃描受感染系統以尋找沙盒環境的跡象。它檢查是否存在屬於 Sandboxie 和 SunBelt SandBox 的特定模塊。

對於一個受害者,Andariel 犯罪集團通過投放定制的勒索軟件威脅來升級攻擊。該惡意軟件使用 AES-128 CBC 模式算法加密所有文件,無論文件大小如何,系統關鍵擴展名除外,例如".exe"、".dll"、".sys"、".msiins"和" .drv.'附加到鎖定文件的默認擴展名是".3nc004",這也是帶有贖金記錄的文本文件的名稱。該筆記的文本顯示,黑客希望收到以比特幣支付的贖金,並提出免費解密兩個文件。