Andariel Cybercriminal Group riktar sig mot sydkoreanska användare

I april 2021 identifierade cybersäkerhetsexperter en ny skräppostkampanj via e-post, som riktade sig till koreanska användare med användning av lokkedokument som var spetsade med skadliga skript. Målet med kampanjen var att leverera en skadlig nyttolast som inte verkar vara relaterad till tidigare kända skadliga familjer. Efter att ha analyserat malwareens beteende och infrastruktur, märkte forskarna att båda dessa aspekter av attacken var konstigt lik de tidigare kampanjer som genomfördes av Lazarus APT . De tror att aprilkampanjen genomfördes av en undergrupp av skådespelaren Lazarus Advanced Persistent Threat (APT) som för närvarande kallas Andariel.

Andariel Criminal Group har förlitat sig på en anpassad bakdörr för sin senaste kampanj, men några av offren smittades också med ransomware i ett senare skede. Att spåra Andariel Criminal Groups verksamhet visar att de tidigare var inblandade i en ekonomiskt motiverad attack, som riktade sig mot ATM-enheter.

Offren för Andariel Criminal Group i april kontaktades genom makroblankerade dokument som levererades via e-post. Attackerna riktar sig främst till enheter och användare i Sydkorea, och det verkar som att brottslingar manuellt använder ytterligare nyttolaster efter att den första infektionen i bakdörren har slutförts. Den ransomware de använder är också specialbyggd, men den liknar andra filskåp som cirkulerar på Internet. Andariel Criminal Groups ransomware kommer att:

  • Kryptera filer, ignorera kritiska systemfiler som EXE, SYS, DLL, etc.
  • Be offret att betala en lösenavgift via Bitcoin.
  • Ange ett offer-ID och angriparens e-postadress för kontakt.

Att döma av Andariel Criminal Groups tidigare attack mot bankomater och den för närvarande aktiva ransomware-kampanjen är det säkert att anta att gruppens verksamhet mestadels är ekonomiskt motiverad. Den här undergruppen i Lazarus APT verkar ta upp sin aktivitet, så det kanske inte dröjer länge innan mer information om dess verksamhet och malwareytor.

Läser in...

Cyclonis Backup Details & Terms

The Free Basic Cyclonis Backup plan gives you 2 GB of cloud storage space with full functionality! No credit card required. Need more storage space? Purchase a larger Cyclonis Backup plan today! To learn more about our policies and pricing, see Terms of Service, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.