Malvérový útok na juhokórejské subjekty bol dielom Andariel Group

Malvérová kampaň zameraná na juhokórejské subjekty, ktorá vyšla najavo začiatkom tohto roka, bola pripísaná hackerskej skupine národného štátu Severnej Kórey s názvom Andariel, čo opäť naznačuje, že útočníci Lazarus nasledujú trendy a ich arzenál sa neustále vyvíja.

“Cesta Windows príkazy a ich možnosti použité v tejto kampani sú takmer totožné s predchádzajúcou aktivitou Andariel,” uviedla v utorok ruská kybernetická bezpečnostná firma Kaspersky. Obete útoku sú vo výrobe, službách domácej siete, médiách a stavebníctve.

Andariel, označený ako súčasť konštelácie Lazarus, je známy tým, že rozpútava útoky na juhokórejské organizácie a podniky pomocou špecificky prispôsobených metód vytvorených pre maximálnu efektivitu. V septembri 2019 bola podskupina spolu s Lazarusom a Bluenoroffom sankcionovaná ministerstvom financií USA za ich zákernú kybernetickú aktivitu na kritickej infraštruktúre.

Predpokladá sa, že Andariel je aktívny minimálne od mája 2016.

Severná Kórea stojí za čoraz organizovanejším úsilím zameraným na infiltráciu do počítačov finančných inštitúcií v Južnej Kórei a na celom svete, ako aj na organizovanie lúpeží kryptomien s cieľom financovať krajinu s obmedzenou hotovosťou v snahe obísť zovretie ekonomických sankcií uvalených na zastavenie rozvoj svojho programu jadrových zbraní.

Zistenia spoločnosti Kaspersky vychádzajú z predchádzajúcej správy od spoločnosti Malwarebytes z apríla 2021, ktorá zdokumentovala nový reťazec infekcií, ktorý distribuoval phishingové e-maily vybavené makrom vloženým do súboru Word, ktorý sa spustí pri otvorení s cieľom nasadiť škodlivý kód skrytý vo forme bitmapový (.BMP) obrazový súbor na umiestnenie trójskeho koňa so vzdialeným prístupom (RAT) na cieľové systémy.

Podľa najnovšej analýzy aktér hrozby okrem inštalácie backdoor údajne doručil jednej zo svojich obetí ransomvér na šifrovanie súborov, čo naznačuje finančný motív útokov. Stojí za zmienku, že Andariel má záznamy o pokusoch ukradnúť informácie o bankových kartách nabúraním sa do bankomatov s cieľom vybrať hotovosť alebo predať informácie o zákazníkoch na čiernom trhu.

„Táto vzorka ransomvéru je vyrobená na zákazku a špeciálne vyvinutá aktérom hrozby stojacim za týmto útokom,“ povedal Seongsu Park, senior bezpečnostný výskumník Kaspersky. „Tento ransomvér je riadený parametrami príkazového riadku a môže buď získať šifrovací kľúč z C2 [server] alebo, alternatívne, ako argument v čase spustenia.”

Ransomvér je navrhnutý tak, aby šifroval všetky súbory v počítači s výnimkou systémových rozšírení „.exe“, „.dll“, „.sys“, „.msiins“ a „.drv“ výmenou za zaplatenie bitcoinu. výkupné za získanie prístupu k dešifrovaciemu nástroju a jedinečnému kľúču na odomknutie zakódovaných súborov.

Pripísanie spoločnosti Kaspersky Andariel pramení z prekrývania sa dešifrovacej rutiny založenej na XOR, ktorá bola začlenená do taktiky skupiny už v roku 2018, a do príkazov po exploatácii vykonávaných na počítačoch obetí.

“Skupina Andariel sa naďalej zameriavala na ciele v Južnej Kórei, ale ich nástroje a techniky sa značne vyvinuli,” povedal Park. “Skupina Andariel mala v úmysle šíriť ransomvér prostredníctvom tohto útoku a tým zdôraznila svoje miesto ako finančne motivovaného štátom podporovaného aktéra.”