研究人員發(fā)現(xiàn)，加密貨幣竊賊集團Lazarus似乎正在擴大其攻擊范圍，通過使用勒索軟件來敲詐亞太地區(qū)（APAC）地區(qū)的金融機構(gòu)和其他目標。而金融交易中出現(xiàn)的新型VHD的勒索軟件菌株因為與以前惡意軟件中的病毒具有相似之處，因此研究人員也將該病毒菌株與朝鮮威脅行為者（也稱為Unit 180或APT35）聯(lián)系起來。

在過去的幾年里，網(wǎng)絡(luò)安全公司Trellox的研究人員一直在跟蹤研究他們所認為的朝鮮網(wǎng)絡(luò)軍隊對金融機構(gòu)的攻擊——該網(wǎng)絡(luò)軍隊通常來自于一個名為Lazarus集團的組織。該組織一直因被認為是通過洗錢計劃竊取加密貨幣，并以此為朝鮮政府籌集相關(guān)資金而出名。

然而，根據(jù)Trllix本周在一篇博客文章中透露的內(nèi)容顯示，Lazarus似乎也玩勒索軟件游戲至少一年了。研究人員表示，比特幣交易和與該集團之前使用的勒索軟件代碼連接的關(guān)系，使得他們認為2020年3月出現(xiàn)的VHD勒索軟件可能是APT38的“杰作”。

金融攻擊引起懷疑

Trellix研究員Christian Beek的帖子顯示，將Lazarus與VHD聯(lián)系起來的一個重要原因是，2016年2月威脅行為者試圖通過SWIFT系統(tǒng)向其他銀行的收款人轉(zhuǎn)移近10億美元。

 Beek在帖子中寫道：由幾家美國機構(gòu)主導(dǎo)進行的調(diào)查發(fā)現(xiàn)了一名被稱為“隱藏眼鏡蛇”的朝鮮演員。從那時起，該組織的網(wǎng)絡(luò)攻擊活動就一直很活躍，并損害了許多受害者的切身利益。

自2014年以來一直活躍的隱藏眼鏡蛇被認為是Lazarus集團的作品。2017年，聯(lián)邦調(diào)查局警告說，該組織正在針對美國企業(yè)進行惡意軟件和僵尸網(wǎng)絡(luò)相關(guān)的攻擊。

Beek認為：隨著時間的推移，他們研究人員觀察到了朝鮮用來賺錢的幾種方法，盡管不像其他團體那樣經(jīng)常觀察到，但是Lazarus集團其中也有人試圖進入勒索軟件世界以此籌集資金。

Trellix在過去幾年里關(guān)注了與朝鮮有聯(lián)系的行為者對金融機構(gòu)的攻擊，如全球銀行、區(qū)塊鏈提供商和韓國用戶。研究人員指出，攻擊者使用的策略包括魚叉式網(wǎng)絡(luò)釣魚電子郵件以及使用虛假的移動應(yīng)用程序和公司。

Beek寫道：“由于這些襲擊主要針對亞太地區(qū)，例如日本和馬來西亞，我們預(yù)計這些襲擊可能是為了驗證勒索軟件是否是獲得收入的寶貴方式。”

代碼鏈接

Beek與Trellox研究人員認為，勒索軟件已成為朝鮮網(wǎng)絡(luò)軍隊工具包的一部分。研究員們通過VHD代碼進行窺視，并以此希望找到他們認為可以指向與以前勒索軟件的相似之處。

Beek的團隊從2020年3月開始，便以這些[代碼]塊為起點，開始尋找相關(guān)軟件軟件。研究人員在VHD代碼中確定了已知被朝鮮威脅行為者使用的四個勒索軟件家族的代碼——BGEAF、PXJ、ZZZ和CHiCHi。雖然Tflower和ChiChi家族只與VHD共享通用功能代碼，但ZZZZ勒索軟件幾乎是Beaf勒索軟件家族的完全克隆，明顯該家族已與朝鮮有關(guān)。

Beek補充認為：另一種觀察得到的結(jié)論是，勒索軟件“BEAF”的四個字母......與APT38被稱為Beefeater的工具握手的前四個字節(jié)完全相同。研究人員表示，在VHD中使用MATA框架——該框架已被用于傳播Tflower勒索軟件家族——也將VHD與Lazarus聯(lián)系起來，因為MATA之前曾與朝鮮有關(guān)聯(lián)。

追蹤錢的線路

然后，研究人員調(diào)查了與朝鮮有聯(lián)系的各種勒索軟件家族，這些家庭似乎都針對亞太地區(qū)的特定實體，研究人員試圖在這期間找到財務(wù)重疊。Beek寫道，他們提取了比特幣錢包地址，并開始跟蹤和監(jiān)控交易，盡管他們自己沒有發(fā)現(xiàn)錢包中存在重疊的信息。他表示，團隊確實發(fā)現(xiàn)已支付的贖金金額相對較小。對于此情況，他歸因于朝鮮演員的勒索軟件家族之間的工作模式。例如，研究人員發(fā)現(xiàn)，2020年年中2.2比特幣的交易價值約20萬美元，并在2020年12月前多次轉(zhuǎn)賬。他們說，當時，在比特幣交易所進行了一筆交易，要么兌現(xiàn)——因為價值大約翻了一番——要么兌換另一種不同且可追溯性較低的加密貨幣。

Beek寫道：研究團隊懷疑勒索軟件家族......是更有組織的攻擊中必不可少的一部分。根據(jù)他們的研究、綜合情報以及對較小的定向勒索軟件攻擊的觀察，Trellox將它們歸功于[朝鮮]高度自信的黑客。

本文翻譯自：https://threatpost.com/vhd-ransomware-lazarus-group/179507/如若轉(zhuǎn)載，請注明原文地址。