Аналитический центр AhnLab Security (ASEC) обнаружил, что группа Andariel активно атакует корейские компании. Они используют различные вредоносные программы, включая AndarLoader и ModeLoader, для заражения и контроля зараженных систем. Особенно интересно, что злоумышленники используют инструмент удаленного управления MeshAgent в сочетании с другими инструментами для достижения разнообразных функций удаленного контроля.
Andariel APT
Группа Andariel использует корейские решения для управления активами, чтобы установить вредоносные программы на зараженных системах. Они используют загрузчики, такие как AndarLoader, чтобы загрузить и запустить исполняемые данные, такие как сборки .NET. AndarLoader был обнаружен обфусцированным с использованием инструмента KoiVM. Несмотря на это, строки, используемые в программе, могут быть найдены идентичные предыдущим версиям AndarLoader.
MeshAgent - это инструмент удаленного управления, который злоумышленники используют для сбора информации о системе и выполнения различных функций удаленного контроля. Они также могут использовать функции удаленного рабочего стола на основе веб-технологий. Известно, что группа Andariel использовала MeshAgent для удаленного управления экранами своих жертв.
ModeLoader - это вредоносная программа на JavaScript, которую группа Andariel также активно использует. Он загружается через Mshta и регулярно соединяется с C&C-сервером, получая команды, выполняя их и отправляя результаты обратно. Злоумышленники используют решения для управления активами для выполнения команды Mshta и загрузки ModeLoader.
Группа Andariel также использует другие вредоносные программы, такие как Mimikatz, для кражи учетных данных в системах. Они также пытаются удалить журналы событий безопасности на зараженных системах и ведут логирование нажатий клавиш и запись содержимого буфера обмена в файл.
Общая особенность атак, связанных с группой Andariel, заключается в использовании ключлоггера для записи нажатий клавиш и данных буфера обмена в файл. Они также используют бэкдоры для захвата контроля над зараженными системами и удаленного управления ими.
Итак, группа Andariel активно атакует корейские компании, используя различные вредоносные программы, такие как AndarLoader, ModeLoader и MeshAgent. Они используют корейские решения для управления активами, чтобы эффективно распространять свои вредоносные программы и захватывать контроль над зараженными системами. Группа также использует инструменты удаленного управления и кейлоггеры, чтобы получить доступ к данным и системам своих жертв.
Indicators of Compromise
IPv4
- 84.38.129.21
Domain Port Combinations
- privacy.hopto.org:443
- privatemake.bounceme.net:443
URLs
- http://panda.ourhome.o-r.kr/modeRead.php
- http://panda.ourhome.o-r.kr/modeView.php
- http://panda.ourhome.o-r.kr/view.php
- http://www.ipservice.kro.kr/index.php
- http://www.ipservice.kro.kr/modeRead.php
- http://www.ipservice.kro.kr/view.php
- http://www.mssrv.kro.kr/modeRead.php
- http://www.mssrv.kro.kr/modeView.php
- http://www.mssrv.kro.kr/modeWrite.php
- http://www.mssrv.kro.kr/view.php
MD5
- 29efd64dd3c7fe1e2b022b7ad73a1ba5
- 2c69c4786ce663e58a3cc093c6d5b530
- 4f1b1124e34894398aa423200a8ab894
- a714b928bbc7cd480fed85e379966f95
