Andariel Criminal Group

Andariel Criminal Group

Andariel Criminal Groupは、韓国に所在するエンティティを標的にすることに引き続き焦点を当てている、国が後援する脅威アクターです。サイバー犯罪者はまた、彼らの活動に対して金銭的な動機を示しています。以前は、グループは韓国のATMを直接標的にしていましたが、グループに起因する最近の深刻な攻撃では、ハッカーは被害者の1人にランサムウェアの脅威を展開しました。 Andarial Criminal Groupは、韓国金融安全保障研究所によってLazarus APT (Advanced Persistent Threat)グループのサブグループとして指定されていることに注意してください。

これまでのところ、アンダリエル刑事グループの犠牲者はお互いにほとんど関係を示していません。各被害者は、他の対象となるエンティティへの明確なリンクなしに、それぞれの垂直市場で活動しています。 Infosecの研究者は、製造、メディア、建設、ホームネットワークサービスの各セクターで働くグループの犠牲者を発見しました。

複雑な攻撃チェーン

Andariel Criminal Groupによって実行される操作は、進化を続け、より複雑になっています。最近観察されたキャンペーンは、複数の特殊な破損したペイロードで構成されており、それぞれが攻撃の別々の段階で展開されています。ハッカーは、最初の侵害のベクトルとして、武器化されたドキュメントファイルを使用します。これらのドキュメントは、検出を大幅に困難にする高度な感染方法を実行するように設計されています。ほとんどの場合、武器化されたMicrosoft Word文書が被害者に配信されましたが、Andariel CriminalGroupがPDF文書を装った破損したファイルに頼った例もいくつかあります。実行時に、ドキュメントは第2段階のペイロードを配信します。これは、コマンドアンドコントロール(C2、C&C)サーバーとの接続を確立し、次のペイロードのための環境を準備するマルウェアの脅威です。

第2段階のマルウェアは、C2から受信したコマンドに従って、5つの特定の機能を実行できます。これには、スリープ間隔の設定、ローカルファイルへの受信データの保存、CreateThread()を介した受信データの実行、WinExecAPIまたはcmd.exeを介した特定のコマンドの実行が含まれます。攻撃の第3段階では、Andariel CriminalGroupがバックドアペイロードを被害者のマシンに展開します。バックドアは操作でインタラクティブに実行され、x64およびx86バージョンが含まれています。この脅威は、アイコンと関連するファイル名を使用して、InternetExplorerまたはGoogleChromeになりすまそうとします。第3段階の脅威は、侵害されたシステムをスキャンして、サンドボックス環境の兆候を探します。 SandboxieおよびSunBeltSandBoxに属する特定のモジュールの存在をチェックします。

Andariel Criminal Groupは、1人の犠牲者に対して、カスタムメイドのランサムウェアの脅威をドロップすることで攻撃をエスカレートさせました。このマルウェアは、AES-128 CBCモードアルゴリズムを使用して、サイズに関係なく、「。exe」、「。dll」、「。sys」、「。msiins」、「」などのシステムクリティカルな拡張子を除くすべてのファイルを暗号化します。 .drv。 'ロックされたファイルに追加されるデフォルトの拡張子は「.3nc004」であり、これは身代金メモを含むテキストファイルに付けられた名前でもあります。メモのテキストは、ハッカーがビットコインで支払われた身代金を受け取りたいと考えており、2つのファイルを無料で復号化することを提案していることを明らかにしています。

トレンド

最も見られました

読み込んでいます...