Wcześniej tego roku badacze z firmy Kaspersky wykryli szkodliwy dokument Worda, w którym zastosowano nowatorski schemat infekcji wykorzystujący trzyetapową szkodliwą funkcję.
Celem ataków były wybrane branże w Korei Południowej. Początkowe ustalenia wskazywały, że były one dziełem cybergangu Lazarus. Jednak dalsza analiza wykazała, na podstawie kilku wyraźnych wskazówek w kodzie oraz sposobie uruchamiania, że atak został w rzeczywistości przeprowadzony przez podgrupę Lazarusa – Andariel.
Badacze z firmy Kaspersky przypisali kampanię ugrupowaniu Andariel na podstawie sposobu implementowania przez cyberprzestępców poleceń systemu Windows oraz wykorzystywanej przez szkodliwe oprogramowanie procedury deszyfrowania – taktycznych odcisków cyfrowych pasujących do wcześniejszych metod stosowanych przez gang Andariel. Dwa elementy kodu pokrywają się ze szkodliwym oprogramowaniem z rodziny PEBBLEDASH, przypisywanym z niskim poziomem pewności ugrupowaniu Lazarus.
Według Koreańskiego Instytutu Bezpieczeństwa Finansowego Andariel stanowi podgrupę ugrupowania Lazarus. Ugrupowanie to atakuje głównie instytucje południowokoreańskie i jest nastawione na zyski finansowe oraz cyberszpiegostwo. Od 2017 roku grupa Andariel ukierunkowała się na ataki dla zysku wymierzone w instytucje finansowe, jak również działania mające na celu łamanie zabezpieczeń bankomatów w Korei Południowej.
Chociaż celem ugrupowania Andariel są głównie instytucje w Korei Południowej, organizacje — niezależnie od swojego położenia geograficznego — powinny uważać na cyberataki i prewencyjnie zapobiegać potencjalnemu naruszeniu bezpieczeństwa w wykorzystaniem najsłabszego ogniwa – czynnika ludzkiego – stwierdził Seongsu Park, starszy badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Ransomware – wilk w skórze Worda
Badacze z firmy Kaspersky wykryli podejrzany dokument Worda w serwisie VirusTotal. Plik posiadał niewinnie brzmiącą nazwę w piśmie koreańskim, która oznaczała „Formularz zgłoszenia uczestnictwa”. Chociaż został on wykryty w kwietniu 2021 r., ugrupowanie rozprzestrzeniało szkodliwą funkcję od połowy 2020 r.
Kliknięcie i otwarcie dokumentu aktywuje pierwszy spośród trzech etapów szkodliwej funkcji – uruchomienie szkodliwego makra, które jest wykonywane w tle, podczas gdy użytkownikowi wyświetlany jest dokument przynęta. Na pierwszym etapie wykonane makro uruchamia ukryty plik, który zawiera szkodliwą funkcję drugiego etapu. Komunikuje się ona ze zdalnym serwerem cyberprzestępczym, który przygotowuje szkodliwą funkcję trzeciego etapu.
Szkodliwe funkcje drugiego i trzeciego etapu podszywają się pod legalną przeglądarkę, wykorzystując ikonę Internet Explorera oraz odpowiednie nazwy plików. Po zainicjowaniu trzeciego etapu następuje sprawdzenie, czy atakowany system nie jest środowiskiem specjalnie przygotowanym przez badaczy bezpieczeństwa celem polowania na zagrożenia.
Jeżeli teren jest czysty, szkodliwa funkcja trzeciego etapu wysyła wiadomość do tego samego serwera cyberprzestępczego. Po otrzymaniu „zielonego światła” następuje uruchomienie właściwego szkodliwego oprogramowania, które oferuje atakującym zdalny dostęp do zainfekowanej maszyny, łącznie z możliwością łączenia się z określonym adresem IP, tworzenia listy plików oraz manipulowania nimi, jak również wykonywania zrzutów ekranu. To wszystko zapewnia cybergangowi niezakłócony dostęp do zainfekowanego systemu.
Jedna z ofiar opisywanego ugrupowania w Korei Południowej doświadczyła ataku przy użyciu niestandardowego oprogramowania ransomware kontrolowanego przy użyciu parametrów wiersza polecenia. Jeśli spełnione zostaną określone kryteria, oprogramowanie ransomware stosuje algorytm AES-128 CBC w celu zaszyfrowania niemal wszystkich plików na atakowanej maszynie z wyjątkiem plików krytycznych dla systemu, aby ofiara ransomware nadal mogła korzystać z komputera i potencjalnie zapłacić okup. Stosowne żądanie jest zapisywane na pulpicie i w folderze autostartu, nakłaniając ofiarę do zapłacenia okupu w walucie Bitcoin.
Istnieją również dowody na to, że ugrupowanie Andariel wykorzystało inny wektor infekcji, w ramach którego szkodliwy moduł podszywał się pod plik PDF. Wprawdzie nie zdobyto oryginalnego pliku, który mógłby zostać poddany analizie, jednak jego obecność wywnioskowano na podstawie artefaktów uzyskanych z narzędzia exPDFReader stworzonego przez południowokoreańską firmę. Ze względu na brak dowodów nie ma pewności co do ścieżki infekcji tego wariantu. Przypuszczalnie wykorzystał on lukę w oprogramowaniu lub podszywał się pod legalny plik, nakłaniając użytkowników do otwarcia go.