Andariel-aanvallen met DTrack en Maui

De Andariel-groep valt bedrijven aan met verschillende schadelijke tools.

Onze experts hebben de activiteit van Andariel onderzocht, waarvan wordt aangenomen dat het een subgroep is van de Lazarus APT-groep. Cybercriminelen gebruiken DTrack-malware en Maui-ransomware om wereldwijd bedrijven aan te vallen. Zoals typisch is voor Lazarus, is het doel van de groep financieel gewin, dit keer door losgeld te eisen.

Doelwitten van Andariel-aanvallen

Onze experts hebben geconcludeerd dat de Andariel-groep zich niet op een bepaalde bedrijfstak richt, maar bereid is om elk bedrijf aan te vallen. In juni meldde het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat Maui-ransomware zich vooral richt op bedrijven en overheidsorganisaties in de Amerikaanse gezondheidszorgsector. Ons team heeft echter ook ten minste één aanval op een woningbouwbedrijf in Japan ontdekt, evenals verschillende slachtoffers in India, Vietnam en Rusland.

Andariel-tools

De belangrijkste tool van de Andariel-groep is de reeds lang bestaande malware DTrack. Deze tool verzamelt informatie over een slachtoffer en stuurt die naar een host op afstand. DTrack verzamelt onder andere de browsergeschiedenis en slaat die op in een apart bestand. De variant die bij de Andariel-aanvallen wordt gebruikt, kan de verzamelde informatie niet alleen via HTTP naar de server van de cybercriminelen sturen, maar ook opslaan op een host op afstand in het netwerk van het slachtoffer.

Wanneer de aanvallers waardevolle gegevens vinden, is het de beurt aan de Maui-ransomware. Deze wordt over het algemeen 10 uur na de activering van DTrack-malware op aangevallen hosts gedetecteerd. Onze collega’s van Stairwell hebben monsters bestudeerd en geconcludeerd dat de ransomware handmatig door de operators wordt bestuurd. Dat wil zeggen dat zij bepalen welke gegevens er moeten worden versleuteld.

Een ander hulpmiddel dat de aanvallers lijken te gebruiken is 3Proxy. Deze legitieme, gratis, cross-platform proxyserver is waarschijnlijk interessant voor aanvallers vanwege zijn compacte omvang (slechts een paar honderd kilobytes). Dit soort tool kan worden gebruikt om op afstand toegang te krijgen tot een gecompromitteerde computer.

Hoe Andariel zijn malware verspreidt

De cybercriminelen maken misbruik van ongepatchte versies van openbare online diensten. In één zo’n geval werd de malware gedownload van een HFS (HTTP file server): de aanvallers maakten gebruik van een onbekende exploit die hen in staat stelde een Powershell-script vanaf een externe server uit te voeren. In een ander voorbeeld konden ze een WebLogic-server compromitteren via een exploit voor de kwetsbaarheid CVE-2017-10271, waardoor ze uiteindelijk een script konden uitvoeren.

Lees voor een meer gedetailleerde technische beschrijving van de aanval en de betrokken tools, samen met indicators of compromise, onze Securelist-post.

Hoe blijft u beschermd?

Zorg er in de eerste plaats voor dat alle bedrijfsapparaten, inclusief servers, zijn uitgerust met robuuste beveiligingsoplossingen. Daarnaast is het verstandig om vooraf een anti-ransomware-strategie en maatregelen op te stellen voor het geval u toch geïnfecteerd raakt.

Tips