Andariel Criminal Group

Die Andariel Criminal Group ist ein staatlich geförderter Bedrohungsakteur, der sich weiterhin darauf konzentriert, in Südkorea ansässige Unternehmen ins Visier zu nehmen. Die Cyberkriminellen haben auch eine finanziell motivierte Seite ihrer Operationen gezeigt. Zuvor hatte die Gruppe Geldautomaten in Südkorea direkt ins Visier genommen, während die Hacker bei dem jüngsten schweren Angriff, der der Gruppe zugeschrieben wird, eine Ransomware-Bedrohung gegen eines ihrer Opfer eingesetzt haben. Es sollte beachtet werden, dass die Andarial kriminelle Gruppe als Untergruppe der Lazarus APT (Advanced Persistent Threat) Gruppe von der koreanischen Financial Security Institute betrachtet wird.

Bisher zeigen die Opfer der Andariel Criminal Group kaum Verbindungen untereinander. Jedes Opfer war in seinen jeweiligen Branchen aktiv, ohne klare Verbindungen zu anderen Zieleinheiten. Forscher von Infosec haben Opfer der Gruppe entdeckt, die in den Bereichen Fertigung, Medien, Bauwesen und Heimnetzwerkdienste tätig sind.

Eine komplexe Angriffskette

Die Operationen der Andariel Criminal Group haben sich weiterentwickelt und sind komplexer geworden. Die jüngste beobachtete Kampagne besteht aus mehreren spezialisierten beschädigten Nutzlasten, die jeweils in einer separaten Phase des Angriffs bereitgestellt werden. Die Hacker verwenden waffengestützte Dokumentdateien als ersten Angriffsvektor. Die Dokumente sind darauf ausgelegt, ausgeklügelte Infektionsmethoden durchzuführen, die den Nachweis erheblich erschweren. Während den Opfern in den meisten Fällen ein waffenfähiges Microsoft Word-Dokument zugestellt wurde, gibt es auch mehrere Fälle, in denen die Andariel Criminal Group auf eine als PDF-Dokument getarnte beschädigte Datei zurückgriff. Nach der Ausführung liefern die Dokumente die Nutzlast der zweiten Stufe – eine Malware-Bedrohung, die dafür verantwortlich ist, den Kontakt mit den Command-and-Control (C2, C&C)-Servern herzustellen und die Umgebung für die nächste Nutzlast vorzubereiten.

Die Malware der zweiten Stufe kann 5 spezifische Funktionen gemäß den Befehlen ausführen, die sie vom C2 erhält. Dazu gehören das Einstellen eines Sleep-Intervalls, das Speichern aller empfangenen Daten in einer lokalen Datei, das Ausführen der empfangenen Daten über CreateThread() und das Ausführen der angegebenen Befehle entweder über die WinExec-API oder cmd.exe. In der dritten Phase des Angriffs installiert die Andariel Criminal Group eine Backdoor-Nutzlast auf dem Computer des Opfers. Die Backdoor wird im Betrieb interaktiv ausgeführt und enthält x64- und x86-Versionen. Die Bedrohung versucht, sich als Internet Explorer oder Google Chrome zu tarnen, indem sie ihre Symbole und zugehörigen Dateinamen verwendet. Die Bedrohung der dritten Stufe durchsucht das kompromittierte System nach Anzeichen einer Sandbox-Umgebung. Es prüft, ob bestimmte Module von Sandboxie und SunBelt SandBox vorhanden sind.

Bei einem einzelnen Opfer eskalierte die Andariel Criminal Group den Angriff, indem sie eine maßgeschneiderte Ransomware-Bedrohung ablegte. Die Malware verwendet einen AES-128 CBC-Modus-Algorithmus, um alle Dateien unabhängig von ihrer Größe zu verschlüsseln, mit Ausnahme von systemkritischen Erweiterungen wie „.exe", „.dll", „.sys", „.msiins" und „. .drv.' Die an die gesperrten Dateien angehängte Standarderweiterung lautet '.3nc004' und das ist auch der Name der Textdatei mit dem Lösegeldschein. Aus dem Text der Notiz geht hervor, dass die Hacker ein Lösegeld in Bitcoin erhalten wollen und bieten an, zwei Dateien kostenlos zu entschlüsseln.