Lazarus APT组织,一个老生常谈的披着网军外衣的黑产组织,在黑鸟报道过关于他们【进行信用卡钓鱼攻击】,【针对交易所发起攻击】后,终究还是进化到黑产组织的最终形态:勒索软件攻击。
而他们投放的勒索软件名为:VHD勒索软件,文件被加密后后缀会变为.vhd
关于VHD勒索软件的介绍链接:https://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html
要知道,Lazarus组织是MATA(Dacls)恶意软件框架的唯一所有者,而该恶意软件最终会将VHD勒索软件部署在受害者的主机上,基于此证明了朝鲜方面开始使用勒索软件团伙的手法进行敛财。
下图为卡巴斯基处理一起感染勒索软件的事件中发现的攻击过程图,一开始攻击者通过存在漏洞的VPN网关进行入侵,并获得了管理员权限,同时在受感染的系统上部署了MATA(Dacls)后门,从而能够接管Active Directory服务器。然后,他们将VHD勒索软件部署到网络中的所有计算机。勒索软件是通过一个用Python编写的下载器进行安装的,整个感染历时10小时。
卡巴斯基最新发布的报告表示掌握的数据倾向于表明VHD勒索软件不是可以购买的勒索软件产品,Lazarus组织是MATA框架的唯一所有者。因此,得出结论:VHD勒索软件也由Lazarus拥有和运营。
关于MATA框架的分析:https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/
根据过去四年中发布的大量报告,朝鲜黑客通常分为两类:(1)从事情报目的的网络间谍活动,(2)从事金融犯罪活动以筹集资金(美国财政部认为,目的是用于支持该国的武器和导弹计划)。
毫无疑问,VHD勒索软件攻击是第二小组的工作,该小组的其他一些筹款活动包括入侵银行,从加密货币交易所窃取资金,入侵ATM从而获取现金,运行加密挖矿僵尸网络,甚至进行网络掠夺(Magecart)攻击以窃取支付卡数据并将其转售到信用卡论坛上。。
其他活动还包括Lazarus黑客入侵公司网络,窃取数据,然后要求受害者勒索赎金,以免其在线发布数据。
当然,需要区分的是,此前的WannaCry勒索软件攻击被认为是一起破坏性行动,而不是一起敛财行为,但目前来看,他们已经完全将勒索软件作为敛财的利器了。
参考链接:
https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/
声明:本文来自黑鸟,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。