Andariel Cybercriminal Group si rivolge agli utenti sudcoreani
Nell'aprile 2021, gli esperti di sicurezza informatica hanno identificato una nuova campagna di posta elettronica di spam, che ha preso di mira gli utenti coreani con l'uso di documenti esca che erano collegati a script dannosi. L'obiettivo della campagna era fornire un payload dannoso che non sembra essere correlato a famiglie di malware precedentemente note. Dopo aver analizzato il comportamento e l'infrastruttura del malware, i ricercatori hanno notato che entrambi questi aspetti dell'attacco erano stranamente simili alle precedenti campagne effettuate dall'APT Lazarus . Ritengono che la campagna di aprile sia stata condotta da un sottogruppo dell'attore Lazarus Advanced Persistent Threat (APT) che attualmente viene chiamato Andariel.
L'Andariel Criminal Group ha fatto affidamento su una backdoor personalizzata per la sua recente campagna, ma alcune delle vittime sono state anche infettate da ransomware in una fase successiva. Il monitoraggio dell'attività del gruppo criminale Andariel mostra che in precedenza erano stati coinvolti in un attacco a sfondo finanziario, che aveva come bersaglio i dispositivi ATM.
Le vittime del gruppo criminale di Andariel ad aprile sono state avvicinate tramite documenti macro-legati consegnati via e-mail. Gli attacchi prendono di mira principalmente entità e utenti in Corea del Sud e sembra che i criminali stiano distribuendo manualmente payload aggiuntivi dopo che l'infezione backdoor iniziale è stata completata. Anche il ransomware che usano è costruito su misura, ma è simile ad altri file-locker che circolano su Internet. Il ransomware di Andariel Criminal Group:
- Cripta i file, ignorando i file di sistema critici come EXE, SYS, DLL, ecc.
- Chiedi alla vittima di pagare una commissione di riscatto tramite Bitcoin.
- Fornire un ID vittima e l'indirizzo e-mail dell'aggressore per il contatto.
A giudicare dal precedente attacco di Andariel Criminal Group contro gli sportelli automatici e dalla campagna ransomware attualmente attiva, è lecito ritenere che le operazioni del gruppo siano per lo più motivate finanziariamente. Questo sottogruppo dell'APT Lazarus sembra riprendere la sua attività, quindi potrebbe non passare molto tempo prima che maggiori dettagli sulle sue operazioni e sul malware emergano.
