Az Andariel Cybercriminal Group a dél-koreai felhasználókat célozza meg
2021 áprilisában a kiberbiztonsági szakértők új e-mail spam kampányt azonosítottak, amely koreai felhasználókat célzott meg csalárd dokumentumok használatával, amelyeket rosszindulatú szkriptek fűztek. A kampány célja egy rosszindulatú hasznos teher szállítása volt, amely úgy tűnik, hogy nem kapcsolódik a korábban ismert rosszindulatú programok családjaihoz. A kártevő viselkedésének és infrastruktúrájának elemzése után a kutatók észrevették, hogy a támadás mindkét aspektusa furcsán hasonlít a Lazarus APT korábbi kampányaira. Úgy vélik, hogy az áprilisi kampányt a Lázár Haladó Tartós Fenyegetés (APT) színészének egy alcsoportja hajtotta végre, akit jelenleg Andariel néven emlegetnek.
Az Andariel bűnözői csoport a legutóbbi kampányában egyedi hátsó ajtóra támaszkodott, de az áldozatok egy részét később is ransomware fertőzte meg. Az Andariel bűnözői csoport tevékenységének nyomon követése azt mutatja, hogy korábban pénzügyileg motivált támadásban vettek részt, amely ATM-eszközöket célzott meg.
Az Andariel bűnügyi csoport áldozatait áprilisban makrófűzős dokumentumok útján keresték meg. A támadások elsősorban a dél-koreai entitásokat és felhasználókat célozzák meg, és úgy tűnik, hogy a bűnözők a kezdeti backdoor fertőzés befejezése után manuálisan telepítenek további hasznos terheléseket. Az általuk használt ransomware szintén egyedi fejlesztésű, de hasonló az interneten forgalomban lévő többi fájlzárhoz. Az Andariel Criminal Group ransomware:
- Fájlok titkosítása, figyelmen kívül hagyva az olyan kritikus rendszerfájlokat, mint az EXE, SYS, DLL stb.
- Kérje meg az áldozatot, hogy váltson díjat a Bitcoin-on keresztül.
- Adja meg az áldozat azonosítóját és a támadó e-mail címét a kapcsolattartáshoz.
Az Andariel Criminal Group korábbi, az ATM-ek elleni támadása és a jelenleg aktív ransomware-kampány alapján eldönthetjük, hogy a csoport működését többnyire pénzügyileg motiválták-e. Úgy tűnik, hogy a Lazarus APT ezen alcsoportja felpörgeti tevékenységét, ezért nem sokáig várhat további részletek a működéséről és a rosszindulatú programok felületéről.