Kaspersky odkrywa detale ataków ransomware na firmy w Korei Południowej prowadzone przez cybergang Andariel

Wcześniej tego roku badacze z firmy Kaspersky wykryli szkodliwy dokument Worda, w którym zastosowano nowatorski schemat infekcji wykorzystujący trzyetapową szkodliwą funkcję. Celem ataków były wybrane branże w Korei Południowej. Początkowe ustalenia wskazywały, że były one dziełem cybergangu Lazarus. Jednak dalsza analiza wykazała, na podstawie kilku wyraźnych wskazówek w kodzie oraz sposobie uruchamiania, że atak został w rzeczywistości przeprowadzony przez podgrupę Lazarusa - Andariel.


Badacze z firmy Kaspersky przypisali kampanię ugrupowaniu Andariel na podstawie sposobu implementowania przez cyberprzestępców poleceń systemu Windows oraz wykorzystywanej przez szkodliwe oprogramowanie procedury deszyfrowania - taktycznych odcisków cyfrowych pasujących do wcześniejszych metod stosowanych przez gang Andariel. Dwa elementy kodu pokrywają się ze szkodliwym oprogramowaniem z rodziny PEBBLEDASH, przypisywanym z niskim poziomem pewności ugrupowaniu Lazarus.

Andariel stanowi według Koreańskiego Instytutu Bezpieczeństwa Finansowego podgrupę ugrupowania Lazarus. Ugrupowanie to atakuje głównie instytucje południowokoreańskie i jest nastawione na zyski finansowe oraz cyberszpiegostwo. Od 2017 r. grupa Andariel ukierunkowała się na ataki dla zysku wymierzone w instytucje finansowe, jak również działania mające na celu łamanie zabezpieczeń bankomatów w Korei Południowej.

Chociaż celem ugrupowania Andariel są głównie instytucje w Korei Południowej, organizacje - niezależnie od swojego położenia geograficznego - powinny uważać na cyberataki i prewencyjnie zapobiegać potencjalnemu naruszeniu bezpieczeństwa w wykorzystaniem najsłabszego ogniwa - czynnika ludzkiego - stwierdził Seongsu Park, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Ransomware - wilk w skórze Worda

Badacze z firmy Kaspersky wykryli podejrzany dokument Worda w serwisie VirusTotal. Plik posiadał niewinnie brzmiącą nazwę w piśmie koreańskim, która oznaczała "Formularz zgłoszenia uczestnictwa". Chociaż został on wykryty w kwietniu 2021 r., ugrupowanie rozprzestrzeniało szkodliwą funkcję od połowy 2020 r.

Kliknięcie i otwarcie dokumentu aktywuje pierwszy spośród trzech etapów szkodliwej funkcji - uruchomienie szkodliwego makra, które jest wykonywane w tle, podczas gdy użytkownikowi wyświetlany jest dokument przynęta. Na pierwszym etapie wykonane makro uruchamia ukryty plik, który zawiera szkodliwą funkcję drugiego etapu. Komunikuje się ona ze zdalnym serwerem cyberprzestępczym, który przygotowuje szkodliwą funkcję trzeciego etapu.

Szkodliwe funkcje drugiego i trzeciego etapu podszywają się pod legalną przeglądarkę, wykorzystując ikonę Internet Explorera oraz odpowiednie nazwy plików. Po zainicjowaniu trzeciego etapu następuje sprawdzenie, czy atakowany system nie jest środowiskiem specjalnie przygotowanym przez badaczy bezpieczeństwa celem polowania na zagrożenia.

Jeżeli teren jest czysty, szkodliwa funkcja trzeciego etapu wysyła wiadomość do tego samego serwera cyberprzestępczego. Po otrzymaniu "zielonego światła" następuje uruchomienie właściwego szkodliwego oprogramowania, które oferuje atakującym zdalny dostęp do zainfekowanej maszyny, łącznie z możliwością łączenia się z określonym adresem IP, tworzenia listy plików oraz manipulowania nimi, jak również wykonywania zrzutów ekranu. To wszystko zapewnia cybergangowi niezakłócony dostęp do zainfekowanego systemu.

Jedna z ofiar opisywanego ugrupowania w Korei Południowej doświadczyła ataku przy użyciu niestandardowego oprogramowania ransomware kontrolowanego przy użyciu parametrów wiersza polecenia. Jeśli spełnione zostaną określone kryteria, oprogramowanie ransomware stosuje algorytm AES-128 CBC w celu zaszyfrowania niemal wszystkich plików na atakowanej maszynie z wyjątkiem plików krytycznych dla systemu, aby ofiara ransomware nadal mogła korzystać z komputera i potencjalnie zapłacić okup. Stosowne żądanie jest zapisywane na pulpicie i w folderze autostartu, nakłaniając ofiarę do zapłacenia okupu w walucie Bitcoin.

Istnieją również dowody na to, że ugrupowanie Andariel wykorzystało inny wektor infekcji, w ramach którego szkodliwy moduł podszywał się pod plik PDF. Wprawdzie nie zdobyto oryginalnego pliku, który mógłby zostać poddany analizie, jednak jego obecność wywnioskowano na podstawie artefaktów uzyskanych z narzędzia exPDFReader stworzonego przez południowokoreańską firmę. Ze względu na brak dowodów nie ma pewności co do ścieżki infekcji tego wariantu. Przypuszczalnie wykorzystał on lukę w oprogramowaniu lub podszywał się pod legalny plik, nakłaniając użytkowników do otwarcia go.

Szczegóły techniczne dotyczące omawianych ataków są dostępne na stronie https://r.kaspersky.pl/UQPrR.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zapobiec atakom podobnym do tych przeprowadzonych przez ugrupowanie Andariel:

  • Zorganizuj podstawowe szkolenie w zakresie cyberbezpieczeństwa wraz z regularnymi kursami utrwalającymi dla pracowników na wszystkich szczeblach organizacji, aby byli świadomi potencjalnych ataków phishingowych, socjotechniki oraz podejrzanych plików.
  • Promuj i egzekwuj zasady cyberbezpieczeństwa w swojej organizacji.
  • Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń. W tym celu możesz skorzystać z usługi Kaspersky Threat Intelligence oferującej nieustannie aktualizowane szczegółowe dane analityczne pozwalające być na bieżąco z aktualnymi cyberzagrożeniami.
  • Organizacje z branży finansowej wymagają wielopoziomowych rozwiązań zabezpieczających, które zapewniają ochronę zarówno przed atakamiogólnymi, jak i ukierunkowanymi. Firma Kaspersky oferuje w tym zakresie połączenie dwóch dekad doświadczenia jako lidera w branży cyberbezpieczeństwa oraz rozwiązań zapewniających zmniejszenie ryzyka, możliwość wykrycia ataków na wczesnym etapie, zwalczanie ataków w czasie rzeczywistym oraz zwiększenie ochrony przed przyszłymi działaniami cyberprzestępców.

    • Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

      Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.