Andariel CybercriminalGroupが韓国のユーザーをターゲット
2021年4月、サイバーセキュリティの専門家は、悪意のあるスクリプトが組み込まれたおとり文書を使用して韓国のユーザーを標的とする新しい電子メールスパムキャンペーンを特定しました。キャンペーンの目標は、以前から知られているマルウェアファミリに関連していないように見える悪意のあるペイロードを配信することでした。マルウェアの挙動やインフラを分析した後、研究者は、攻撃のこれらの側面の両方をすることにより行う、前のキャンペーンに妙に似ていたことに気づいたラザロAPT 。彼らは、4月のキャンペーンは、現在Andarielと呼ばれているLazarus Advanced Persistent Threat(APT)アクターのサブグループによって実行されたと考えています。
Andariel Criminal Groupは、最近のキャンペーンでカスタムバックドアに依存してきましたが、被害者の一部は後の段階でランサムウェアにも感染しました。 Andariel Criminal Groupの活動を追跡すると、ATMデバイスを標的とした金銭的な動機による攻撃に以前関与していたことがわかります。
4月のアンダリエル刑事グループの犠牲者は、電子メールで配信されたマクロレースの文書を通じてアプローチされました。攻撃は主に韓国のエンティティとユーザーを標的にしており、最初のバックドア感染が完了した後、犯罪者は手動で追加のペイロードを展開しているようです。彼らが使用するランサムウェアもカスタムビルドですが、インターネット上で流通している他のファイルロッカーと似ています。 Andariel CriminalGroupのランサムウェアは次のようになります。
- EXE、SYS、DLLなどの重要なシステムファイルを無視して、ファイルを暗号化します。
- 被害者にビットコイン経由で身代金を支払うように依頼します。
- 連絡先として、被害者IDと攻撃者の電子メールアドレスを提供します。
Andariel Criminal GroupによるATMに対する以前の攻撃と現在アクティブなランサムウェアキャンペーンから判断すると、グループの運用は主に金銭的な動機であると考えるのが安全です。 Lazarus APTのこのサブグループはその活動を活発にしているように見えるので、その操作とマルウェアの表面についての詳細が明らかになるまでそう長くはかからないかもしれません。