对韩国实体的恶意软件攻击是 Andariel Group 的工作

今年早些时候曝光的针对韩国实体的恶意软件活动归因于一个名为 Andariel 的朝鲜民族国家黑客组织，再次表明Lazarus攻击者正在紧跟潮流，他们的武器库也在不断发展。

俄罗斯网络安全公司卡巴斯基在周二发布的一份深入调查中表示： “这次活动中使用 Windows 命令及其选项的方式几乎与之前的 Andariel 活动相同。” 攻击的受害者来自制造、家庭网络服务、媒体和建筑行业。

Andariel 被指定为 Lazarus 星座的一部分，以使用专为实现最大效率而量身定制的方法对韩国组织和企业发动攻击而闻名。2019 年 9 月，该小组连同 Lazarus 和 Bluenoroff 因在关键基础设施上进行恶意网络活动而受到美国财政部的制裁。

据信，安达利尔至少自 2016 年 5 月以来一直活跃。

朝鲜支持越来越多的精心策划的努力，旨在渗透韩国和世界各地金融机构的计算机，并进行加密货币抢劫，为资金短缺的国家提供资金，以试图规避为阻止经济制裁而实施的经济制裁。发展其核武器计划。

卡巴斯基的调查结果建立在Malwarebytes于 2021 年 4 月的先前报告的基础上，该报告记录了一个新的感染链，该报告记录了一个新的感染链，该链分发带有嵌入 Word 文件的宏的网络钓鱼电子邮件，该文件在打开时执行，以部署隐藏的恶意代码位图 (.BMP) 图像文件以在目标系统上放置远程访问木马 (RAT)。

根据最新的分析，威胁行为者除了安装后门外，据说还向其中一名受害者提供了文件加密勒索软件，暗示攻击有经济动机。值得注意的是，Andariel 曾试图通过入侵 ATM 机提取现金或在黑市上出售客户信息来窃取银行卡信息。

卡巴斯基高级安全研究员 Seongsu Park 说：“这个勒索软件样本是定制的，并且是由这次攻击背后的威胁行为者专门开发的。” “该勒索软件由命令行参数控制，可以从 C2 [服务器] 检索加密密钥，或者作为启动时的参数。”

该勒索软件旨在加密计算机中的所有文件，但系统关键的“.exe”、“.dll”、“.sys”、“.msiins”和“.drv”扩展名除外，以换取支付比特币赎金以访问解密工具和唯一密钥以解锁加扰文件。

卡巴斯基对 Andariel 的归因源于基于 XOR 的解密程序的重叠，这些程序早在 2018 年就被纳入该组织的策略以及在受害者机器上执行的后开发命令中。

“安达利尔集团继续关注韩国的目标，但他们的工具和技术已经有了很大的发展，”朴说。“安达利尔集团打算通过这次攻击传播勒索软件，通过这样做，他们强调了他们作为受经济动机支持的国家行为者的地位。”