Andariel 網絡犯罪集團針對韓國用戶

2021 年 4 月，網絡安全專家發現了一個新的垃圾郵件活動，該活動使用帶有惡意腳本的誘餌文檔針對韓國用戶。該活動的目標是提供與以前已知的惡意軟件系列無關的惡意負載。在分析了惡意軟件的行為和基礎設施後，研究人員注意到攻擊的這兩個方面都與Lazarus APT之前進行的活動非常相似。他們認為 4 月的活動是由 Lazarus Advanced Persistent Threat (APT) 演員的一個子小組執行的，該小組目前被稱為 Andariel。

Andariel 犯罪集團最近的活動一直依靠自定義後門，但一些受害者在後期也感染了勒索軟件。跟踪 Andariel 犯罪集團的活動表明，他們之前曾參與過一次以 ATM 設備為目標的出於經濟動機的攻擊。

4 月份，安達利爾犯罪集團的受害者通過電子郵件傳遞的宏觀文件進行了接觸。這些攻擊主要針對韓國的實體和用戶，在初始後門感染完成後，犯罪分子似乎正在手動部署額外的有效載荷。他們使用的勒索軟件也是定制的，但它類似於互聯網上流傳的其他文件鎖。 Andariel 犯罪集團的勒索軟件將：

• 加密文件，忽略關鍵的系統文件，如 EXE、SYS、DLL 等。
• 要求受害者通過比特幣支付贖金。
• 提供受害者 ID 和攻擊者的電子郵件地址以供聯繫。

從安達利爾犯罪集團之前對 ATM 的攻擊和當前活躍的勒索軟件活動來看，可以安全地假設該集團的運營主要是出於經濟動機。 Lazarus APT 的這個子組似乎開始了其活動，因此不久之後可能會提供有關其操作和惡意軟件表面的更多詳細信息。