该针对韩国多个行业的恶意软件活动被认为是由一个名为Andariel的朝鲜国家黑客组织实施的。根据《黑客新闻》的说法,这一发展表明Lazarus黑客正在加入潮流并扩大他们的武器库。卡巴斯基实验室在一份详细报告中指出:“此次活动中使用Windows命令及其选项的方式与之前的Andariel活动几乎相同。”这次攻击影响了制造业、家庭网络服务、媒体和建筑行业。Andariel是Lazarus黑客组织的成员,该组织因攻击韩国的组织和企业而臭名昭著。该组织与Lazarus和Bluenoroff一起于2019年9月因针对关键基础设施的敌对网络活动而受到美国财政部的制裁。朝鲜被认为是黑客的幕后黑手,该黑客试图渗透韩国和世界各地金融机构的计算机。与此同时,它还策划了加密货币盗窃,试图逃避为阻止其核武器计划发展而施加的经济制裁的束缚。卡巴斯基的调查结果基于2021年4月的早期Malwarebytes报告。基于这些调查结果,这家网络安全公司记录了一个新的感染链,该感染链会分发网络钓鱼电子邮件并在目标系统上投放远程访问木马(RAT)。根据最新调查,新的恶意软件以类似的方式工作。除了安装后门之外,威胁行为者还能够向其中一名受害者提供文件加密勒索软件,这表明他们出于经济动机。应该指出的是,Andariel过去曾试图入侵ATM机,以窃取银行卡数据换取现金或在黑市上出售客户数据。该勒索软件旨在加密除具有系统关键扩展名“.exe”、“.dll”、“.sys”、“.MSIins”和“.drv”的文件之外的所有文件。正如预期的那样,它需要支付比特币来购买解密软件和解锁加密数据的唯一密钥。
