Andariel Cybercriminal Group riktar sig mot sydkoreanska användare
I april 2021 identifierade cybersäkerhetsexperter en ny skräppostkampanj via e-post, som riktade sig till koreanska användare med användning av lokkedokument som var spetsade med skadliga skript. Målet med kampanjen var att leverera en skadlig nyttolast som inte verkar vara relaterad till tidigare kända skadliga familjer. Efter att ha analyserat malwareens beteende och infrastruktur, märkte forskarna att båda dessa aspekter av attacken var konstigt lik de tidigare kampanjer som genomfördes av Lazarus APT . De tror att aprilkampanjen genomfördes av en undergrupp av skådespelaren Lazarus Advanced Persistent Threat (APT) som för närvarande kallas Andariel.
Andariel Criminal Group har förlitat sig på en anpassad bakdörr för sin senaste kampanj, men några av offren smittades också med ransomware i ett senare skede. Att spåra Andariel Criminal Groups verksamhet visar att de tidigare var inblandade i en ekonomiskt motiverad attack, som riktade sig mot ATM-enheter.
Offren för Andariel Criminal Group i april kontaktades genom makroblankerade dokument som levererades via e-post. Attackerna riktar sig främst till enheter och användare i Sydkorea, och det verkar som att brottslingar manuellt använder ytterligare nyttolaster efter att den första infektionen i bakdörren har slutförts. Den ransomware de använder är också specialbyggd, men den liknar andra filskåp som cirkulerar på Internet. Andariel Criminal Groups ransomware kommer att:
- Kryptera filer, ignorera kritiska systemfiler som EXE, SYS, DLL, etc.
- Be offret att betala en lösenavgift via Bitcoin.
- Ange ett offer-ID och angriparens e-postadress för kontakt.
Att döma av Andariel Criminal Groups tidigare attack mot bankomater och den för närvarande aktiva ransomware-kampanjen är det säkert att anta att gruppens verksamhet mestadels är ekonomiskt motiverad. Den här undergruppen i Lazarus APT verkar ta upp sin aktivitet, så det kanske inte dröjer länge innan mer information om dess verksamhet och malwareytor.