Основные цели Andariel — получение прибыли и кибершпионаж. С 2017 года группа атакует преимущественно финансовые институты, например, ранее она взламывала банкоматы в Южной Корее.
С середины 2020 года Andariel распространяла вредоносный документ Word с безобидным названием «Форма заявки на участие»*, который позволял выполнить ранее неизвестную схему заражения с трёхступенчатой загрузкой. Открытие документа приводило к запуску в фоновом режиме вредоносного макроса, жертва в явном виде должна была дать согласие на запуск макроса. Макрос, в свою очередь, запускал скрытый HTA-файл (HTML Application), который содержал модуль для взаимодействия с командно-контрольным сервером, маскирующийся под Internet Explorer (используя его иконку). Его основной задачей была подготовка к выполнению полноценного модуля удалённого доступа, открывающего широкие возможности для дистанционного управления скомпрометированной системой. Он позволял атакующим выполнять команды Windows, подключаться к заданному IP-адресу, составлять список файлов и манипулировать ими, а также делать скриншоты.
Стоит отметить, в некоторых случаях после модуля удалённого доступа к заражённой системе загружалась ещё и программа-вымогатель, которая зашифровывала почти все файлы на компьютере жертвы. Незашифрованными оставались только критически важные для системы файлы. При этом некоторые конфигурационные файлы также подвергались шифрованию, что с большой вероятностью могло приводить к отказу системы. За расшифровку данных атакующие требовали выкуп в криптовалюте.
Судя по имеющейся информации, атакующие могли использовать вместо документа Word PDF-документ, однако, как именно происходило заражение в этом случае, пока точно неясно. Возможны как минимум два сценария: 1) эксплуатация уязвимости в программе, позволяющей просматривать PDF-документы; 2) сам PDF-документ — просто наживка, за которой скрывается запуск HTA-файла, как в случае с документом Word.
«Сейчас от атак Andariel страдают в основном организации в Южной Корее, но сохранять бдительность следует компаниям по всему миру. Важно заранее принять меры, чтобы не подвело самое слабое звено в цепочке защиты — человеческий фактор», — отмечает Виктор Чебышев, эксперт по кибербезопасности «Лаборатории Касперского».
Для предотвращения подобных атак «Лаборатория Касперского» рекомендует компаниям:
* Название файла было написано корейскими иероглифами.