研究人员发现,加密货币窃贼集团Lazarus似乎正在扩大其攻击范围,通过使用勒索软件来敲诈亚太地区(APAC)地区的金融机构和其他目标。而金融交易中出现的新型VHD的勒索软件菌株因为与以前恶意软件中的病毒具有相似之处,因此研究人员也将该病毒菌株与朝鲜威胁行为者(也称为Unit 180或APT35)联系起来。
在过去的几年里,网络安全公司Trellox的研究人员一直在跟踪研究他们所认为的朝鲜网络军队对金融机构的攻击——该网络军队通常来自于一个名为Lazarus集团的组织。该组织一直因被认为是通过洗钱计划窃取加密货币,并以此为朝鲜政府筹集相关资金而出名。
然而,根据Trllix本周在一篇博客文章中透露的内容显示,Lazarus似乎也玩勒索软件游戏至少一年了。研究人员表示,比特币交易和与该集团之前使用的勒索软件代码连接的关系,使得他们认为2020年3月出现的VHD勒索软件可能是APT38的“杰作”。
金融攻击引起怀疑
Trellix研究员Christian Beek的帖子显示,将Lazarus与VHD联系起来的一个重要原因是,2016年2月威胁行为者试图通过SWIFT系统向其他银行的收款人转移近10亿美元。
Beek在帖子中写道:由几家美国机构主导进行的调查发现了一名被称为“隐藏眼镜蛇”的朝鲜演员。从那时起,该组织的网络攻击活动就一直很活跃,并损害了许多受害者的切身利益。
自2014年以来一直活跃的隐藏眼镜蛇被认为是Lazarus集团的作品。2017年,联邦调查局警告说,该组织正在针对美国企业进行恶意软件和僵尸网络相关的攻击。
Beek认为:随着时间的推移,他们研究人员观察到了朝鲜用来赚钱的几种方法,尽管不像其他团体那样经常观察到,但是Lazarus集团其中也有人试图进入勒索软件世界以此筹集资金。
Trellix在过去几年里关注了与朝鲜有联系的行为者对金融机构的攻击,如全球银行、区块链提供商和韩国用户。研究人员指出,攻击者使用的策略包括鱼叉式网络钓鱼电子邮件以及使用虚假的移动应用程序和公司。
Beek写道:“由于这些袭击主要针对亚太地区,例如日本和马来西亚,我们预计这些袭击可能是为了验证勒索软件是否是获得收入的宝贵方式。”
代码链接
Beek与Trellox研究人员认为,勒索软件已成为朝鲜网络军队工具包的一部分。研究员们通过VHD代码进行窥视,并以此希望找到他们认为可以指向与以前勒索软件的相似之处。
Beek的团队从2020年3月开始,便以这些[代码]块为起点,开始寻找相关软件软件。研究人员在VHD代码中确定了已知被朝鲜威胁行为者使用的四个勒索软件家族的代码——BGEAF、PXJ、ZZZ和CHiCHi。虽然Tflower和ChiChi家族只与VHD共享通用功能代码,但ZZZZ勒索软件几乎是Beaf勒索软件家族的完全克隆,明显该家族已与朝鲜有关。
Beek补充认为:另一种观察得到的结论是,勒索软件“BEAF”的四个字母......与APT38被称为Beefeater的工具握手的前四个字节完全相同。研究人员表示,在VHD中使用MATA框架——该框架已被用于传播Tflower勒索软件家族——也将VHD与Lazarus联系起来,因为MATA之前曾与朝鲜有关联。
追踪钱的线路
然后,研究人员调查了与朝鲜有联系的各种勒索软件家族,这些家庭似乎都针对亚太地区的特定实体,研究人员试图在这期间找到财务重叠。Beek写道,他们提取了比特币钱包地址,并开始跟踪和监控交易,尽管他们自己没有发现钱包中存在重叠的信息。他表示,团队确实发现已支付的赎金金额相对较小。对于此情况,他归因于朝鲜演员的勒索软件家族之间的工作模式。例如,研究人员发现,2020年年中2.2比特币的交易价值约20万美元,并在2020年12月前多次转账。他们说,当时,在比特币交易所进行了一笔交易,要么兑现——因为价值大约翻了一番——要么兑换另一种不同且可追溯性较低的加密货币。
Beek写道:研究团队怀疑勒索软件家族......是更有组织的攻击中必不可少的一部分。根据他们的研究、综合情报以及对较小的定向勒索软件攻击的观察,Trellox将它们归功于[朝鲜]高度自信的黑客。
本文翻译自:https://threatpost.com/vhd-ransomware-lazarus-group/179507/如若转载,请注明原文地址。