Andariel Cybercriminal Group apunta a usuarios surcoreanos
En abril de 2021, los expertos en ciberseguridad identificaron una nueva campaña de correo no deseado, que se dirigía a los usuarios coreanos con el uso de documentos señuelo que estaban atados con scripts maliciosos. El objetivo de la campaña era entregar una carga útil maliciosa que no parece estar relacionada con familias de malware conocidas anteriormente. Después de analizar el comportamiento y la infraestructura del malware, los investigadores notaron que ambos aspectos del ataque eran extrañamente similares a campañas anteriores llevadas a cabo por Lazarus APT . Creen que la campaña de abril fue llevada a cabo por un subgrupo del actor de Lazarus Advanced Persistent Threat (APT) que actualmente se conoce como Andariel.
Andariel Criminal Group ha confiado en una puerta trasera personalizada para su campaña reciente, pero algunas de las víctimas también fueron infectadas con ransomware en una etapa posterior. El seguimiento de la actividad del Grupo Criminal Andariel muestra que estuvieron involucrados anteriormente en un ataque con motivación financiera, que tenía como objetivo los dispositivos de cajeros automáticos.
Las víctimas del Grupo delictivo Andariel en abril fueron abordadas a través de documentos macro entrelazados enviados por correo electrónico. Los ataques se dirigen principalmente a entidades y usuarios en Corea del Sur, y parece que los delincuentes están implementando cargas útiles adicionales de forma manual después de que se completa la infección de puerta trasera inicial. El ransomware que utilizan también está diseñado a medida, pero es similar a otros casilleros de archivos que circulan por Internet. El ransomware de Andariel Criminal Group:
- Cifre archivos, ignorando archivos críticos del sistema como EXE, SYS, DLL, etc.
- Pídale a la víctima que pague una tarifa de rescate a través de Bitcoin.
- Proporcione una identificación de víctima y la dirección de correo electrónico del atacante para el contacto.
A juzgar por el ataque anterior de Andariel Criminal Group contra los cajeros automáticos y la campaña de ransomware actualmente activa, es seguro asumir que las operaciones del grupo están principalmente motivadas financieramente. Este subgrupo de Lazarus APT parece estar recuperando su actividad, por lo que no pasará mucho tiempo antes de que se obtengan más detalles sobre sus operaciones y las superficies de malware.