Andariel Criminal Group

El Andariel Criminal Group es un actor de amenazas patrocinado por el estado que ha mostrado un enfoque continuo en atacar entidades ubicadas en Corea del Sur. Los ciberdelincuentes también han mostrado un lado de sus operaciones motivado financieramente. Anteriormente, el grupo se había dirigido directamente a los cajeros automáticos en Corea del Sur, mientras que en el último ataque grave atribuido al grupo, los piratas informáticos desplegaron una amenaza de ransomware contra una de sus víctimas. Cabe señalar que el Andarial Criminal Group ha sido designado como un subgrupo del grupo Lazarus APT (Advanced Persistent Threat) por el Instituto Coreano de Seguridad Financiera.

Hasta ahora, las víctimas del Grupo Criminal Andariel muestran pocas conexiones entre ellas. Cada víctima ha estado activa en sus respectivas verticales, sin vínculos claros con ninguna de las otras entidades objetivo. Los investigadores de Infosec han descubierto víctimas del grupo que trabaja en los sectores de servicios de fabricación, medios de comunicación, construcción y redes domésticas.

Una compleja cadena de ataques

Las operaciones llevadas a cabo por el Grupo Criminal Andariel han seguido evolucionando y haciéndose más complejas. La última campaña observada consta de múltiples cargas útiles corruptas especializadas, cada una desplegada en una etapa separada del ataque. Los piratas informáticos utilizan archivos de documentos armados como vector inicial de compromiso. Los documentos están diseñados para llevar a cabo sofisticados métodos de infección que dificultan significativamente la detección. Si bien en la mayoría de los casos, se entregó a las víctimas un documento de Microsoft Word armado, también hay varios casos en los que Andariel Criminal Group recurrió a un archivo corrupto disfrazado de documento PDF. Tras la ejecución, los documentos entregan la carga útil de la segunda etapa: una amenaza de malware responsable de establecer contacto con los servidores de comando y control (C2, C&C) y preparar el entorno para la siguiente carga útil.

El malware de segunda etapa puede realizar 5 funciones específicas según los comandos que recibe del C2. Estos incluyen establecer un intervalo de suspensión, guardar los datos recibidos en un archivo local, ejecutar los datos recibidos a través de CreateThread () y ejecutar los comandos dados a través de WinExec API o cmd.exe. En la tercera etapa del ataque, el Grupo Criminal Andariel despliega una carga útil de puerta trasera en la máquina de la víctima. La puerta trasera se ejecuta en la operación de forma interactiva y contiene versiones x64 y x86. La amenaza intenta disfrazarse de Internet Explorer o Google Chrome mediante el uso de sus iconos y nombres de archivos asociados. La amenaza de tercera etapa escanea el sistema comprometido en busca de signos de un entorno de espacio aislado. Comprueba la presencia de módulos específicos pertenecientes a Sandboxie y SunBelt SandBox.

En una sola víctima, Andariel Criminal Group intensificó el ataque lanzando una amenaza de ransomware personalizada. El malware utiliza un algoritmo de modo AES-128 CBC para cifrar todos los archivos independientemente de su tamaño, con la excepción de extensiones críticas para el sistema como '.exe', '.dll', '.sys', '.msiins' y ' .drv. ' La extensión predeterminada adjunta a los archivos bloqueados es '.3nc004' y ese es también el nombre que se le da al archivo de texto que contiene la nota de rescate. El texto de la nota revela que los piratas informáticos quieren recibir un rescate pagado en bitcoin y ofrecen descifrar dos archivos de forma gratuita.