研究人員發(fā)現(xiàn)，加密貨幣竊賊集團(tuán)Lazarus似乎正在擴(kuò)大其攻擊范圍，通過使用勒索軟件來敲詐亞太地區(qū)（APAC）地區(qū)的金融機(jī)構(gòu)和其他目標(biāo)。而金融交易中出現(xiàn)的新型VHD的勒索軟件菌株因?yàn)榕c以前惡意軟件中的病毒具有相似之處，因此研究人員也將該病毒菌株與朝鮮威脅行為者（也稱為Unit 180或APT35）聯(lián)系起來。

在過去的幾年里，網(wǎng)絡(luò)安全公司Trellox的研究人員一直在跟蹤研究他們所認(rèn)為的朝鮮網(wǎng)絡(luò)軍隊(duì)對金融機(jī)構(gòu)的攻擊——該網(wǎng)絡(luò)軍隊(duì)通常來自于一個(gè)名為Lazarus集團(tuán)的組織。該組織一直因被認(rèn)為是通過洗錢計(jì)劃竊取加密貨幣，并以此為朝鮮政府籌集相關(guān)資金而出名。

然而，根據(jù)Trllix本周在一篇博客文章中透露的內(nèi)容顯示，Lazarus似乎也玩勒索軟件游戲至少一年了。研究人員表示，比特幣交易和與該集團(tuán)之前使用的勒索軟件代碼連接的關(guān)系，使得他們認(rèn)為2020年3月出現(xiàn)的VHD勒索軟件可能是APT38的“杰作”。

金融攻擊引起懷疑

Trellix研究員Christian Beek的帖子顯示，將Lazarus與VHD聯(lián)系起來的一個(gè)重要原因是，2016年2月威脅行為者試圖通過SWIFT系統(tǒng)向其他銀行的收款人轉(zhuǎn)移近10億美元。

 Beek在帖子中寫道：由幾家美國機(jī)構(gòu)主導(dǎo)進(jìn)行的調(diào)查發(fā)現(xiàn)了一名被稱為“隱藏眼鏡蛇”的朝鮮演員。從那時(shí)起，該組織的網(wǎng)絡(luò)攻擊活動(dòng)就一直很活躍，并損害了許多受害者的切身利益。

自2014年以來一直活躍的隱藏眼鏡蛇被認(rèn)為是Lazarus集團(tuán)的作品。2017年，聯(lián)邦調(diào)查局警告說，該組織正在針對美國企業(yè)進(jìn)行惡意軟件和僵尸網(wǎng)絡(luò)相關(guān)的攻擊。

Beek認(rèn)為：隨著時(shí)間的推移，他們研究人員觀察到了朝鮮用來賺錢的幾種方法，盡管不像其他團(tuán)體那樣經(jīng)常觀察到，但是Lazarus集團(tuán)其中也有人試圖進(jìn)入勒索軟件世界以此籌集資金。

Trellix在過去幾年里關(guān)注了與朝鮮有聯(lián)系的行為者對金融機(jī)構(gòu)的攻擊，如全球銀行、區(qū)塊鏈提供商和韓國用戶。研究人員指出，攻擊者使用的策略包括魚叉式網(wǎng)絡(luò)釣魚電子郵件以及使用虛假的移動(dòng)應(yīng)用程序和公司。

Beek寫道：“由于這些襲擊主要針對亞太地區(qū)，例如日本和馬來西亞，我們預(yù)計(jì)這些襲擊可能是為了驗(yàn)證勒索軟件是否是獲得收入的寶貴方式?！?/p>

代碼鏈接

Beek與Trellox研究人員認(rèn)為，勒索軟件已成為朝鮮網(wǎng)絡(luò)軍隊(duì)工具包的一部分。研究員們通過VHD代碼進(jìn)行窺視，并以此希望找到他們認(rèn)為可以指向與以前勒索軟件的相似之處。

Beek的團(tuán)隊(duì)從2020年3月開始，便以這些[代碼]塊為起點(diǎn)，開始尋找相關(guān)軟件軟件。研究人員在VHD代碼中確定了已知被朝鮮威脅行為者使用的四個(gè)勒索軟件家族的代碼——BGEAF、PXJ、ZZZ和CHiCHi。雖然Tflower和ChiChi家族只與VHD共享通用功能代碼，但ZZZZ勒索軟件幾乎是Beaf勒索軟件家族的完全克隆，明顯該家族已與朝鮮有關(guān)。

Beek補(bǔ)充認(rèn)為：另一種觀察得到的結(jié)論是，勒索軟件“BEAF”的四個(gè)字母......與APT38被稱為Beefeater的工具握手的前四個(gè)字節(jié)完全相同。研究人員表示，在VHD中使用MATA框架——該框架已被用于傳播Tflower勒索軟件家族——也將VHD與Lazarus聯(lián)系起來，因?yàn)镸ATA之前曾與朝鮮有關(guān)聯(lián)。

追蹤錢的線路

然后，研究人員調(diào)查了與朝鮮有聯(lián)系的各種勒索軟件家族，這些家庭似乎都針對亞太地區(qū)的特定實(shí)體，研究人員試圖在這期間找到財(cái)務(wù)重疊。Beek寫道，他們提取了比特幣錢包地址，并開始跟蹤和監(jiān)控交易，盡管他們自己沒有發(fā)現(xiàn)錢包中存在重疊的信息。他表示，團(tuán)隊(duì)確實(shí)發(fā)現(xiàn)已支付的贖金金額相對較小。對于此情況，他歸因于朝鮮演員的勒索軟件家族之間的工作模式。例如，研究人員發(fā)現(xiàn)，2020年年中2.2比特幣的交易價(jià)值約20萬美元，并在2020年12月前多次轉(zhuǎn)賬。他們說，當(dāng)時(shí)，在比特幣交易所進(jìn)行了一筆交易，要么兌現(xiàn)——因?yàn)閮r(jià)值大約翻了一番——要么兌換另一種不同且可追溯性較低的加密貨幣。

Beek寫道：研究團(tuán)隊(duì)?wèi)岩衫账鬈浖易?.....是更有組織的攻擊中必不可少的一部分。根據(jù)他們的研究、綜合情報(bào)以及對較小的定向勒索軟件攻擊的觀察，Trellox將它們歸功于[朝鮮]高度自信的黑客。

本文翻譯自：https://threatpost.com/vhd-ransomware-lazarus-group/179507/如若轉(zhuǎn)載，請注明原文地址。