Andariel nettkriminelle gruppe retter seg mot sørkoreanske brukere

I april 2021 identifiserte cybersikkerhetseksperter en ny spam-kampanje via e-post, som målrettet koreanske brukere med bruk av lokkedokumenter som var laced med ondsinnede skript. Målet med kampanjen var å levere en ondsinnet nyttelast som ikke ser ut til å være relatert til tidligere kjente skadelige familier. Etter å ha analysert malwareens oppførsel og infrastruktur, la forskerne merke til at begge disse aspektene av angrepet var merkelig lik tidligere kampanjer utført av Lazarus APT . De mener at aprilkampanjen ble utført av en undergruppe av skuespilleren Lazarus Advanced Persistent Threat (APT) som for tiden kalles Andariel.

Andariel Criminal Group har stole på en tilpasset bakdør for sin nylige kampanje, men noen av ofrene ble også smittet med løsepenger på et senere tidspunkt. Å spore aktiviteten til Andariel Criminal Group viser at de tidligere var involvert i et økonomisk motivert angrep, som var rettet mot minibanker.

Ofre for Andariel Criminal Group i april ble kontaktet gjennom makroblankerte dokumenter levert via e-post. Angrepene retter seg først og fremst mot enheter og brukere i Sør-Korea, og det ser ut til at kriminelle bruker manuelt ekstra nyttelast etter at den første infeksjonen i bakdøren er fullført. Ransomware de bruker er også spesialbygd, men det ligner på andre filskap som sirkulerer på Internett. Andariel Criminal Groups løsepenger vil:

• Krypter filer, ignorerer kritiske systemfiler som EXE, SYS, DLL, etc.
• Be offeret om å betale en løsepengeravgift via Bitcoin.
• Oppgi et offer-ID og angriperens e-postadresse for kontakt.

Bedømt etter Andariel Criminal Groups tidligere angrep mot minibanker og den nåværende aktive løsepengekampanjen, er det trygt å anta at konsernets virksomhet stort sett er økonomisk motivert. Denne undergruppen av Lazarus APT ser ut til å ta aktiviteten sin, så det kan ikke ta lang tid før flere detaljer om operasjonene og malwareoverflatene.