Используемые инструменты и несколько характерных признаков в коде позволили предположить, что их проводила кибергруппа Andariel, которая, по данным Корейского агентства финансовой безопасности, входит в состав Lazarus.

Основные цели Andariel — получение прибыли и кибершпионаж. С 2017 года группа атакует преимущественно финансовые институты, например, ранее она взламывала банкоматы в Южной Корее.

С середины 2020 года Andariel распространяла вредоносный документ Word с безобидным названием «Форма заявки на участие»*, который позволял выполнить ранее неизвестную схему заражения с трёхступенчатой загрузкой. Открытие документа приводило к запуску в фоновом режиме вредоносного макроса, жертва в явном виде должна была дать согласие на запуск макроса. Макрос, в свою очередь, запускал скрытый HTA-файл (HTML Application), который содержал модуль для взаимодействия с командно-контрольным сервером, маскирующийся под Internet Explorer (используя его иконку). Его основной задачей была подготовка к выполнению полноценного модуля удалённого доступа, открывающего широкие возможности для дистанционного управления скомпрометированной системой. Он позволял атакующим выполнять команды Windows, подключаться к заданному IP-адресу, составлять список файлов и манипулировать ими, а также делать скриншоты.

Стоит отметить, что в некоторых случаях после модуля удалённого доступа к заражённой системе загружалась ещё и программа-вымогатель, которая зашифровывала почти все файлы на компьютере жертвы. Незашифрованными оставались только критически важные для системы файлы. При этом некоторые конфигурационные файлы также подвергались шифрованию, что с большой вероятностью могло приводить к отказу системы. За расшифровку данных атакующие требовали выкуп в криптовалюте.

Судя по имеющейся информации, атакующие могли использовать вместо документа Word PDF-документ, однако, как именно происходило заражение в этом случае, пока точно неясно. Возможны как минимум два сценария: 1) эксплуатация уязвимости в программе, позволяющей просматривать PDF-документы; 2) сам PDF-документ — просто наживка, за которой скрывается запуск HTA-файла, как в случае с документом Word.

«Сейчас от атак Andariel страдают в основном организации в Южной Корее, но сохранять бдительность следует компаниям по всему миру. Важно заранее принять меры, чтобы не подвело самое слабое звено в цепочке защиты — человеческий фактор», — отмечает Виктор Чебышев, эксперт по кибербезопасности «Лаборатории Касперского».

Для предотвращения подобных атак «Лаборатория Касперского» рекомендует компаниям:

* Название файла было написано корейскими иероглифами.

«Лаборатория Касперского» выявила серию целевых атак программ-вымогателей на компании в Южной Корее

В апреле 2021 года эксперты GReAT (глобального центра исследования и анализа угроз «Лаборатории Касперского») зафиксировали ряд целевых атак с использованием программ-вымогателей на южнокорейские компании из разных отраслей.
Kaspersky Logo