Le groupe de cybercriminels Andariel cible les utilisateurs sud-coréens
En avril 2021, des experts en cybersécurité ont identifié une nouvelle campagne de spam par courrier électronique, qui ciblait les utilisateurs coréens à l'aide de documents leurres contenant des scripts malveillants. L'objectif de la campagne était de fournir une charge utile malveillante qui ne semble pas être liée aux familles de logiciels malveillants précédemment connues. Après avoir analysé le comportement et l'infrastructure du malware, les chercheurs ont remarqué que ces deux aspects de l'attaque étaient étrangement similaires aux campagnes précédentes menées par l' APT Lazarus . Ils pensent que la campagne d'avril a été menée par un sous-groupe de l'acteur Lazarus Advanced Persistent Threat (APT) actuellement appelé Andariel.
Le groupe criminel Andariel s'est appuyé sur une porte dérobée personnalisée pour sa récente campagne, mais certaines des victimes ont également été infectées par un ransomware à un stade ultérieur. Le suivi de l'activité du groupe criminel Andariel montre qu'ils ont déjà été impliqués dans une attaque à motivation financière, qui ciblait les appareils ATM.
Les victimes du groupe criminel Andariel en avril ont été approchées par le biais de documents macro-lacés transmis par courrier électronique. Les attaques ciblent principalement des entités et des utilisateurs en Corée du Sud, et il semble que les criminels déploient manuellement des charges utiles supplémentaires une fois l'infection initiale de la porte dérobée terminée. Le ransomware qu'ils utilisent est également conçu sur mesure, mais il est similaire aux autres casiers de fichiers circulant sur Internet. Le ransomware d'Andariel Criminal Group :
- Crypter les fichiers en ignorant les fichiers système critiques tels que EXE, SYS, DLL, etc.
- Demandez à la victime de payer une rançon via Bitcoin.
- Fournissez un ID de victime et l'adresse e-mail de l'attaquant pour le contact.
À en juger par l'attaque précédente d'Andariel Criminal Group contre les guichets automatiques et la campagne de ransomware actuellement active, on peut supposer que les opérations du groupe sont principalement motivées par des raisons financières. Ce sous-groupe de l'APT Lazarus semble reprendre son activité, il ne faudra donc peut-être pas longtemps avant plus de détails sur ses opérations et les surfaces malveillantes.