Andariel Criminal Group

Le groupe criminel Andariel est un acteur menaçant parrainé par l'État qui a continué de se concentrer sur le ciblage d'entités situées en Corée du Sud. Les cybercriminels ont également affiché un côté motivé financièrement à leurs opérations. Auparavant, le groupe ciblait directement les guichets automatiques en Corée du Sud, tandis que lors de la dernière grave attaque attribuée au groupe, les pirates informatiques ont déployé une menace de ransomware contre l'une de leurs victimes. Il convient de noter que le groupe criminel Andarial a été désigné comme un sous-groupe du groupe Lazarus APT (Advanced Persistent Threat) par l'Institut coréen de sécurité financière.

Jusqu'à présent, les victimes du groupe criminel Andariel montrent peu de liens entre elles. Chaque victime a été active dans ses secteurs verticaux respectifs, sans liens clairs avec aucune des autres entités ciblées. Les chercheurs d'Infosec ont découvert des victimes du groupe travaillant dans les secteurs de la fabrication, des médias, de la construction et des services de réseau domestique.

Une chaîne d'attaque complexe

Les opérations menées par le groupe criminel Andariel ont continué d'évoluer et de devenir plus complexes. La dernière campagne observée consiste en plusieurs charges utiles corrompues spécialisées, chacune déployée à une étape distincte de l'attaque. Les pirates utilisent des fichiers de documents armés comme vecteur initial de compromission. Les documents sont conçus pour appliquer des méthodes d'infection sophistiquées qui rendent la détection considérablement plus difficile. Alors que dans la plupart des cas, un document Microsoft Word militarisé a été remis aux victimes, il existe également plusieurs cas où le groupe criminel Andariel a eu recours à un fichier corrompu déguisé en document PDF. Une fois exécutés, les documents fournissent la charge utile de la deuxième étape - une menace malveillante chargée d'établir le contact avec les serveurs de commande et de contrôle (C2, C&C) et de préparer l'environnement pour la charge utile suivante.

Le malware de deuxième étape peut exécuter 5 fonctions spécifiques selon les commandes qu'il reçoit du C2. Ceux-ci incluent la définition d'un intervalle de veille, l'enregistrement des données reçues dans un fichier local, l'exécution des données reçues via CreateThread() et l'exécution des commandes données via l'API WinExec ou cmd.exe. Dans la troisième étape de l'attaque, le groupe criminel Andariel déploie une charge utile de porte dérobée sur la machine de la victime. La porte dérobée est exécutée dans l'opération de manière interactive et contient les versions x64 et x86. La menace tente de se déguiser en Internet Explorer ou Google Chrome en utilisant leurs icônes et les noms de fichiers associés. La menace de troisième étape analyse le système compromis à la recherche de signes d'un environnement sandbox. Il vérifie la présence de modules spécifiques appartenant à Sandboxie et SunBelt SandBox.

Sur une seule victime, le groupe criminel Andariel a intensifié l'attaque en abandonnant une menace de ransomware sur mesure. Le malware utilise un algorithme en mode CBC AES-128 pour crypter tous les fichiers quelle que soit leur taille, à l'exception des extensions critiques pour le système telles que ".exe", ".dll", ".sys", ".msiins" et ". .drv.' L'extension par défaut ajoutée aux fichiers verrouillés est « .3nc004 » et c'est également le nom donné au fichier texte portant la demande de rançon. Le texte de la note révèle que les pirates veulent recevoir une rançon payée en bitcoin et ils proposent de décrypter deux fichiers gratuitement.