Andariel Cybercriminal Group retter sig mod sydkoreanske brugere
I april 2021 identificerede cybersikkerhedseksperter en ny e-mail-spam-kampagne, der målrettede koreanske brugere med brugen af lokkedokumenter, der var snoet med ondsindede scripts. Målet med kampagnen var at levere en ondsindet nyttelast, der ikke ser ud til at være relateret til tidligere kendte malware-familier. Efter at have analyseret malwareens adfærd og infrastruktur bemærkede forskerne, at begge disse aspekter af angrebet mærkeligt lignede tidligere kampagner udført af Lazarus APT . De mener, at aprilkampagnen blev udført af en undergruppe af skuespilleren Lazarus Advanced Persistent Threat (APT), der i øjeblikket kaldes Andariel.
Andariel Criminal Group har været afhængig af en brugerdefineret bagdør til deres nylige kampagne, men nogle af ofrene blev også inficeret med ransomware på et senere tidspunkt. At spore Andariel Criminal Groups aktivitet viser, at de tidligere var involveret i et økonomisk motiveret angreb, der var målrettet mod pengeautomater.
Ofre for Andariel Criminal Group i april blev kontaktet gennem makroblankerede dokumenter leveret via e-mails. Angrebene er primært rettet mod enheder og brugere i Sydkorea, og det ser ud til, at de kriminelle manuelt anvender yderligere nyttelast, efter at den indledende bagdørinfektion er afsluttet. Den ransomware, de bruger, er også specialbygget, men det ligner andre fil-lockers, der cirkulerer på Internettet. Andariel Criminal Groups ransomware vil:
- Krypter filer, ignorerer kritiske systemfiler som EXE, SYS, DLL osv.
- Bed offeret om at betale et løsesum via Bitcoin.
- Angiv et offer-ID og angriberens e-mail-adresse til kontakt.
At dømme efter Andariel Criminal Groups tidligere angreb mod pengeautomater og den aktuelt aktive ransomwarekampagne, er det sikkert at antage, at gruppens aktiviteter for det meste er økonomisk motiverede. Denne undergruppe af Lazarus APT ser ud til at tage sin aktivitet op, så det kan ikke vare længe før flere detaljer om dens operationer og malwareoverflader.