Киберпреступная группа Andariel нацелена на пользователей из Южной Кореи
В апреле 2021 года эксперты по кибербезопасности выявили новую кампанию по рассылке спама по электронной почте, нацеленную на корейских пользователей с использованием ложных документов, содержащих вредоносные скрипты. Целью кампании было доставить вредоносную полезную нагрузку, которая не имеет отношения к ранее известным семействам вредоносных программ. Проанализировав поведение и инфраструктуру вредоносного ПО, исследователи заметили, что оба эти аспекта атаки странно похожи на предыдущие кампании, проводимые Lazarus APT . Они считают, что апрельская кампания была проведена подгруппой актора Lazarus Advanced Persistent Threat (APT), которая в настоящее время называется Andariel.
Андариэльская криминальная группа использовала специальный бэкдор в своей недавней кампании, но некоторые из жертв также были заражены программами-вымогателями на более позднем этапе. Отслеживание деятельности преступной группы Андариэль показывает, что ранее они участвовали в финансово мотивированной атаке, нацеленной на банкоматы.
В апреле к жертвам преступной группировки Андариэль обращались с помощью документов с макросами, доставленных по электронной почте. Атаки нацелены в первую очередь на организации и пользователей в Южной Корее, и похоже, что преступники вручную развертывают дополнительные полезные нагрузки после завершения первоначального заражения бэкдором. Программы-вымогатели, которые они используют, также созданы на заказ, но они похожи на другие файловые хранилища, распространяемые в Интернете. Программа-вымогатель Andariel Criminal Group:
- Шифруйте файлы, игнорируя важные системные файлы, такие как EXE, SYS, DLL и т. Д.
- Попросите жертву заплатить выкуп через биткойн.
- Предоставьте идентификатор жертвы и адрес электронной почты злоумышленника для связи.
Судя по предыдущей атаке Andariel Criminal Group на банкоматы и активной в настоящее время кампании вымогателей, можно с уверенностью предположить, что деятельность группы в основном финансово мотивирована. Эта подгруппа Lazarus APT, похоже, набирает обороты, поэтому, возможно, вскоре появятся более подробные сведения о ее операциях и вредоносных поверхностях.