加密货币窃贼集团Lazarus相关的VHD勒索软件似乎正在通过使用勒索软件勒索亚太(APAC)地区的金融机构和其他目标来扩大其影响范围。金融交易中的新VHD勒索软件也与朝鲜威胁行为者(也称为180单元或APT35)有关,因为它与以前恶意软件中的病毒相似。在过去的几年里,网络安全公司Trellox的研究人员一直在追踪他们认为是朝鲜网络军队对金融机构的攻击——通常来自一个名为Lazarus组织的组织。长期以来,该组织一直以通过洗钱计划窃取加密货币并利用它们为朝鲜政府筹集资金而闻名。然而,根据Trillix本周在一篇博客文章中透露的信息,Lazarus似乎也已经玩了至少一年的勒索软件游戏。研究人员表示,该组织之前使用的比特币交易和与勒索软件代码的关联让他们相信,2020年3月出现的VHD勒索软件可能是APT38的“杰作”。金融攻击引发怀疑根据Trellix研究员ChristianBeek的一篇帖子,将Lazarus与VHD联系起来的一个重要原因是,2016年2月,威胁行为者试图通过SWIFT系统向其他银行的收款人转移近10亿美元。比克在帖子中写道:由几家美国机构领导的调查发现了一名被称为“隐形眼镜蛇”的朝鲜演员。此后,该团伙网络攻击活动活跃,损害了众多受害人的切身利益。自2014年以来一直活跃的HiddenCobra被认为是Lazarus组织所为。2017年,FBI警告说,该组织正以美国企业为目标,进行恶意软件和僵尸网络相关攻击。比克说:随着时间的推移,我们的研究人员观察到朝鲜用来赚钱的几种方法,虽然不像其他团体那样频繁,但Lazarus团体中的一些人也曾试图进入勒索软件世界筹集资金。过去几年,Trellix一直在关注与朝鲜有联系的参与者(例如全球银行、区块链提供商和韩国用户)对金融机构的攻击。研究人员指出,攻击者使用的策略包括鱼叉式网络钓鱼电子邮件以及使用虚假移动应用程序和公司。Beek写道:“由于这些攻击主要针对亚太地区,例如日本和马来西亚,我们预计这些攻击可能是为了验证勒索软件是一种有价值的创收方式。“CodeLinkBeek和Trellox研究人员认为勒索软件已成为朝鲜网络军队工具包的一部分。研究人员仔细查看了VHD代码,希望找到他们认为可能指向以前的勒索软件的相似之处。Beek以这些[代码]块为起点,该团队于2020年3月开始寻找相关软件软件。研究人员在VHD代码中识别出已知被朝鲜威胁行为者使用的四个勒索软件家族的代码——BGEAF、PXJ、ZZZ和CHiCHi。虽然Tflower和ChiChi系列仅与VHD共享通用功能代码,ZZZZ勒索软件几乎是Beaf勒索软件系列的完整克隆,这显然与朝鲜有关。Beek补充说:另一项观察得出结论,勒索软件“BEAF”的四个字母...与APT38的Beefeater工具握手的前四个字节完全相同VHD中使用MATA框架——该框架曾被用于传播Tflower勒索软件家族——VHD也与Lazarus相关,因为MATA之前与朝鲜相关。追踪资金流向研究人员随后调查了与朝鲜家庭有关的各种勒索软件,这些勒索软件似乎都针对亚太地区的特定实体,在此期间研究人员试图找到财务重叠。比克写道,他们提取了比特币钱包地址并开始跟踪和监控交易,尽管他们自己没有发现重叠信息。他说,该团队确实发现支付的赎金数额相对较小。对于此案例,他将工作模式归因于朝鲜演员的勒索软件家族。例如,研究人员发现,在2020年2.2月,比特币交易价值约20万美元,并在2020年12月之前多次转移。价值大约翻了一番——要么交换一种不同的、不易追踪的加密货币。Beek写道:研究小组怀疑勒索软件系列......是更有组织的攻击的组成部分。根据他们的研究,结合情报和对较小的有针对性的勒索软件攻击的观察,Trellox将它们归因于[朝鲜]高度自信的黑客。转载请注明原文地址。
