研究人员发现,加密货币盗窃分子Lazarus集团似乎正在扩大其攻击范围,利用勒索软件作为一种新的攻击方式,对亚太地区(APAC)的金融机构和其他目标进行勒索攻击。
在对金融交易攻击中所出现的名为VHD的勒索软件毒株与之前发现的恶意软件有很多相似之处,这将此次攻击与朝鲜的威胁攻击者联系了起来,他们也被称为APT35。
网络安全公司Trellix的研究人员一直在跟踪这起事件。他们认为这是朝鲜网络军队对金融机构发动了攻击。这些攻击通常是来自Lazarus集团。在过去几年里。该集团最有名的事件可能是它通过洗钱计划,勒索加密货币,为朝鲜政府筹集资金。
然而,Trellix在本周的一篇博文中透露,Lazarus似乎已经进行了至少一年的勒索软件攻击。研究人员发现,此次攻击和该组织以前所使用过的勒索软件的代码有很大的联系,2020年3月出现的VHD很可能就是APT38的作品。
由金融攻击引发的怀疑
根据Trellix研究员Christian Beek的帖子,将Lazarus与VHD联系起来的一个前提是,2016年2月,威胁攻击者试图通过SWIFT系统向其他银行的收款人转移近10亿美元。
他写道,通过几个美国机构进行的调查,发现了一个被称为'隐藏的眼镜蛇'的朝鲜攻击组织。从那时起,这个组织就一直很活跃,损害了许多受害者的利益。
自2014年以来一直很活跃的Hidden Cobra被认为是Lazarus Group的作品。2017年,联邦调查局警告说,该集团正在以美国企业为目标,进行与恶意软件和僵尸网络相关的攻击。
随着时间的推移,我们已经观察到了朝鲜用来获得财政的几种方法。Beek写道,虽然没有像其他团体那样频繁的进行攻击,但也开始尝试去使用勒索软件进行攻击。
Trellix调查了与朝鲜有关的攻击者在过去的几年中对金融机构,如全球银行、区块链供应商和韩国用户的攻击。研究人员指出,攻击者所使用的战术包括鱼叉式网络钓鱼电子邮件以及使用虚假的移动应用程序。
Beek写道:"由于这些攻击主要是针对亚太区域,例如日本和马来西亚的目标,我们认为这些攻击可能是在检验勒索软件能否成为一种很好的获利方式。”
代码链接
Beek写道,现在已经知道勒索软件已经成为了朝鲜网络军队工具包的一部分,Trellix研究人员在VHD的代码中也发现了很多相似之处,他们认为从这些相似之处可以看到犯罪分子在对以前的勒索软件进行了重复使用。
他写道,从这些代码块开始调查,从2020年3月起开始寻找,发现了很多相关的家族。
研究人员在VHD的代码中发现了目前已知的朝鲜威胁者所使用的四个勒索软件家族代码--BGEAF、PXJ、ZZZZ和CHiCHi。
虽然Tflower和ChiChi家族仅与VHD共享通用功能的代码,但 ZZZZZ勒索软件几乎与Beaf勒索软件家族完全一样,并且该家族与朝鲜有关。
他补充说,另一个观察结果是,勒索软件'BEAF'的四个字母与APT38的被称为Beefeater的工具的前四个字节完全相同。
研究人员说,由于在VHD中使用了MATA框架,并且它已被用来传播Tflower勒索软件家族,这些线索也将VHD与Lazarus联系了起来,因为MATA以前与朝鲜有联系。
为了获得金钱
研究人员随后调查了与朝鲜有关的各种勒索软件家族,它们似乎都以亚太地区的特定实体为目标,并试图找到这些攻击之间相同的部分。
他们提取了比特币钱包地址,并开始追踪和监控交易,但是他们并没有发现钱包本身有相同的地方。
Beek写道,我们确实发现,有些支付的赎金数额相对较小。
例如,研究人员发现,在2020年中期,一笔2.2比特币的交易价值约为20,00美元,并在2020年12月之前进行了多次转移。他们说,当时,在一个比特币交易所发生了一笔交易,要么进行兑现,要么换成不同的、不太容易追踪的加密货币。
Beek写道,我们怀疑这些勒索软件家族是非常有组织性和攻击性的,根据我们的研究并且综合各种情报以及对勒索软件攻击的各种观察,Trellix将它们归于朝鲜黑客,并且认为这种推断具有很高的可信度。
本文翻译自:https://threatpost.com/vhd-ransomware-lazarus-group/179507/如若转载,请注明原文地址