Наши эксперты исследовали активность Andariel, которая предположительно является подгруппой корейской APT-группировки Lazarus. Злоумышленники используют зловред DTrack и шифровальщик Maui для атак на предприятия по всему миру. Традиционно для Lazarus, основная цель атак заключается в получении финансовой выгоды. На этот раз за счет шантажа.
Кого атакует группировка Andariel
Согласно выводам наших экспертов, группировка Andariel не фокусируется на какой-либо отдельной отрасли — она готова атаковать любую подвернувшуюся компанию. В июне американское Агентство по кибербезопасности и защите инфраструктуры сообщало, что шифровальщик Maui атакует в основном компании и государственные организации, работающие в сфере здравоохранения в США. Однако наши специалисты также обнаружили как минимум одну атаку на жилищную компанию в Японии и несколько дополнительных жертв в Индии, Вьетнаме и России.
Инструменты группировки Andariel
Основной рабочий инструмент группировки Andariel — зловред DTrack, известный достаточно давно. Он служит для сбора информации о жертве и отсылки этой информации на удаленный хост. В числе прочего, DTrack интересуется историей браузера и сохраняет ее в отдельный файл. Вариант зловреда, используемый в атаках Andariel, умеет отправлять собранную информацию не только на сервер злоумышленников через протокол HTTP, но также сохранять ее на удаленном хосте в сети жертвы.
Непосредственно с интересующими злоумышленников данными работает шифровальщик-вымогатель Maui. Он детектируется на атакуемых хостах через десять часов после активации зловреда DTrack. Не так давно его исследовали наши коллеги из Staiwell и пришли к выводу, что данный шифровальщик управляется злоумышленниками в ручном режиме, то есть операторы указывают, какие конкретно данные следует зашифровать.
Еще один инструмент, которым, по всей видимости, пользуются злоумышленники, называется 3Proxy. Это в принципе легитимный бесплатный кроссплатформенный прокси-сервер, который, вероятно, интересен злоумышленникам из-за компактного размера (он весит всего лишь несколько сотен килобайт). Инструмент такого типа может использоваться для поддержания удаленного доступа к скомпрометированному компьютеру.
Как именно Andariel распространяет свои зловреды
Злоумышленники эксплуатируют необновленные версии публичных онлайн-сервисов. В одном из случаев зловреды были загружены HTTP-сервером HFS: преступники воспользовались неизвестным эксплойтом, который позволил им запустить скрипт Powershell с удаленного сервера. В другом — им удалось скомпрометировать сервер Weblogic через эксплойт к уязвимости CVE-2017-10271, что также в итоге помогло им запустить посторонний скрипт.
Более подробное техническое описание атаки и инструментов злоумышленников, наряду с индикаторами компрометации, можно найти в посте на блоге Securelist.
Как оставаться в безопасности?
Первым делом следует убедиться, что все корпоративные устройства, включая серверы, снабжены надежными защитными решениями. Кроме того, полезно заранее продумать стратегию защиты от шифровальщиков и меры на случай, если заражение все-таки произойдет.