Andariel 网络犯罪集团针对韩国用户

2021 年 4 月，网络安全专家发现了一个新的垃圾邮件活动，该活动使用带有恶意脚本的诱饵文档针对韩国用户。该活动的目标是提供与以前已知的恶意软件系列无关的恶意负载。在分析了恶意软件的行为和基础设施后，研究人员注意到攻击的这两个方面都与Lazarus APT之前进行的活动奇怪地相似。他们认为 4 月的活动是由 Lazarus Advanced Persistent Threat (APT) 演员的一个子小组执行的，该小组目前被称为 Andariel。

Andariel 犯罪集团最近的活动一直依靠自定义后门，但一些受害者在后期也感染了勒索软件。跟踪 Andariel 犯罪集团的活动表明，他们之前曾参与过以 ATM 设备为目标的出于经济动机的攻击。

4 月份，安达利尔犯罪集团的受害者通过电子邮件传递的宏观文件进行了接触。这些攻击主要针对韩国的实体和用户，在初始后门感染完成后，犯罪分子似乎正在手动部署额外的有效载荷。他们使用的勒索软件也是定制的，但它类似于互联网上流传的其他文件锁。 Andariel 犯罪集团的勒索软件将：

• 加密文件，忽略关键的系统文件，如 EXE、SYS、DLL 等。
• 要求受害者通过比特币支付赎金。
• 提供受害者 ID 和攻击者的电子邮件地址以供联系。

从安达利尔犯罪集团之前对 ATM 的攻击和当前活跃的勒索软件活动来看，可以安全地假设该集团的运营主要是出于经济动机。 Lazarus APT 的这个子组似乎开始了其活动，因此不久之后可能会提供有关其操作和恶意软件表面的更多详细信息。