Το Andariel Cybercriminal Group στοχεύει χρήστες της Νότιας Κορέας
Τον Απρίλιο του 2021, εμπειρογνώμονες στον τομέα της ασφάλειας στον κυβερνοχώρο εντόπισαν μια νέα καμπάνια ανεπιθύμητης αλληλογραφίας, η οποία στόχευε τους κορεάτες χρήστες με τη χρήση εγγράφων δόνησης που ήταν δεμένα με κακόβουλα σενάρια. Ο στόχος της καμπάνιας ήταν να παραδώσει ένα κακόβουλο ωφέλιμο φορτίο που δεν φαίνεται να σχετίζεται με παλαιότερα γνωστές οικογένειες κακόβουλων προγραμμάτων. Μετά την ανάλυση της συμπεριφοράς και της υποδομής του κακόβουλου λογισμικού, οι ερευνητές παρατήρησαν ότι και οι δύο αυτές πτυχές της επίθεσης ήταν περίεργα παρόμοιες με προηγούμενες εκστρατείες που διεξήγαγε το Lazarus APT . Πιστεύουν ότι η εκστρατεία του Απριλίου διεξήχθη από μια υποομάδα του ηθοποιού Lazarus Advanced Persistent Threat (APT) που αναφέρεται σήμερα ως Andariel.
Το Andariel Criminal Group βασίστηκε σε μια προσαρμοσμένη πόρτα για την πρόσφατη εκστρατεία τους, αλλά μερικά από τα θύματα μολύνθηκαν επίσης με ransomware σε μεταγενέστερο στάδιο. Η παρακολούθηση της δραστηριότητας του Andariel Criminal Group δείχνει ότι στο παρελθόν συμμετείχαν σε μια επίθεση με οικονομικά κίνητρα, η οποία στόχευε συσκευές ATM.
Τα θύματα της εγκληματικής ομάδας Andariel τον Απρίλιο προσεγγίστηκαν μέσω εγγράφων μακροεντολών που παραδόθηκαν μέσω email. Οι επιθέσεις στοχεύουν κυρίως οντότητες και χρήστες στη Νότια Κορέα και φαίνεται ότι οι εγκληματίες αναπτύσσουν χειροκίνητα πρόσθετα ωφέλιμα φορτία μετά την ολοκλήρωση της αρχικής μόλυνσης στο πίσω μέρος. Το ransomware που χρησιμοποιούν είναι επίσης ειδικά κατασκευασμένο, αλλά είναι παρόμοιο με άλλα θυρίδες αρχείων που κυκλοφορούν στο Διαδίκτυο. Το ransomware της Andariel Criminal Group:
- Κρυπτογράφηση αρχείων, αγνοώντας κρίσιμα αρχεία συστήματος όπως EXE, SYS, DLL κ.λπ.
- Ζητήστε από το θύμα να πληρώσει αμοιβή λύτρων μέσω Bitcoin.
- Δώστε ένα αναγνωριστικό θύματος και τη διεύθυνση email του εισβολέα για επαφή.
Κρίνοντας από την προηγούμενη επίθεση του Andariel Criminal Group εναντίον ΑΤΜ και την τρέχουσα ενεργή εκστρατεία ransomware, είναι ασφαλές να υποθέσουμε ότι οι δραστηριότητες του ομίλου έχουν ως επί το πλείστον οικονομικά κίνητρα. Αυτή η υποομάδα του Lazarus APT φαίνεται να αυξάνει τη δραστηριότητά της, οπότε ίσως να μην περάσει πολύς χρόνος πριν από περισσότερες λεπτομέρειες σχετικά με τις λειτουργίες και τις επιφάνειες κακόβουλου λογισμικού.
