针对韩国多种行业的恶意软件活动被认为是一个名为Andariel的朝鲜国家黑客组织所为。据《黑客新闻》报道,这一进展表明,Lazarus黑客攻击者正在紧跟潮流,扩大他们的武器库。卡巴斯基实验室在一份详细的报告中指出:"这次活动中使用Windows命令及其选项的方式与以前的Andariel活动几乎相同"。这次攻击影响了制造业、家庭网络服务、媒体和建筑业。
Andariel是Lazarus黑客组织的成员之一,因对韩国的组织和企业发动攻击而臭名昭著。该组织与Lazarus和Bluenoroff一起,于2019年9月被美国财政部制裁,原因是对重要基础设施进行敌对网络活动。朝鲜据认为是这些黑客活动幕后推手,它试图渗透到韩国和世界各地的金融机构电脑中。同时,它还策划了加密货币盗窃案,试图逃避为阻止其核武器计划发展而实施的经济制裁束缚。
卡巴斯基的发现建立在2021年4月Malwarebytes的一份早期报告之上。基于这些发现,这家网络安全公司记录了一个新的感染链,它分发钓鱼邮件,并在目标系统上投放一个远程访问木马(RAT)。根据最新的调查,新的恶意软件以类似的方式工作。除了安装一个后门外,威胁者还可以将文件加密的赎金软件传送给其中一个受害者,这表明有经济动机。应该指出的是,Andariel过去曾试图通过入侵自动取款机来窃取银行卡数据获取现金或在黑市上出售客户数据。
该勒索软件旨在加密所有文件,但那些带有系统关键扩展名".exe"、".dll"、".sys"、".MSIins"和".drv"的文件除外。正如预期的那样,它要求支付比特币以获得一个解密软件和一个独特的密钥来解锁加密的数据。
