新興的H0lyGh0st勒索軟件與朝鮮有關(guān)聯(lián)

作者：我們會有自己的貓 2022-07-22 12:02:20

微軟將2021年6月出現(xiàn)的威脅與被跟蹤為DEV-0530的國家贊助行為者聯(lián)系起來。

微軟研究人員通過調(diào)研已經(jīng)將一些損害中小型企業(yè)利益的新興勒索軟件威脅與自去年以來一直活躍的具有財務(wù)動機的朝鮮國家贊助的行為者聯(lián)系起來。

根據(jù)調(diào)查顯示，自2021年6月以來，微軟威脅情報中心（MSTIC）的研究人員追蹤事件名為DEV-0530，發(fā)現(xiàn)自稱H0lyGh0st的團隊一直在攻擊中使用勒索軟件。

MTIC和微軟數(shù)字安全部門（MDSU）的研究人員在周四發(fā)表的一篇博客文章中表示，早在9月份，H0lyGh0st集團就成功破壞了多個國家的中小型企業(yè)的網(wǎng)絡(luò)設(shè)備，其中包括制造組織、銀行、學(xué)校以及活動和會議規(guī)劃公司。

H0lyGh0st的標(biāo)準(zhǔn)作案手法是通過同名勒索軟件使用文件擴展名.h0lyenc加密目標(biāo)設(shè)備上的所有文件，然后向受害者發(fā)送文件樣本作為證據(jù)。研究人員表示，該組織在其維護的.onion網(wǎng)站上與受害者互動，并在該網(wǎng)站上為受害者提供聯(lián)系表格。

該集團通常要求用比特幣付款，以換取恢復(fù)對文件的訪問。研究人員表示，H0lyGh0st在其網(wǎng)站上聲稱，如果受害者向他們付費，它不會出售或發(fā)布受害者數(shù)據(jù)。然而，它使用雙重敲詐勒索來迫使目標(biāo)付款，威脅要在社交媒體上發(fā)布被盜數(shù)據(jù)，或者如果他們不符合贖金要求，就將其發(fā)送給受害者的客戶。

H0lyGh0st簡介

研究人員表示，H0lyGh0st的勒索軟件活動是出于經(jīng)濟動機而發(fā)生，研究人員觀察到他們所攔截到的贖金紙條文本。攻擊者在文本上聲稱他們的目標(biāo)是為了“縮小貧富差距”。

他們說：“他們還試圖通過聲稱通過讓受害者更多地了解他們的安全態(tài)勢以此來提高受害者的安全意識，因而促使受害者承認(rèn)他們的行動合法化?！?/p>

據(jù)MSTIC稱，DEV-0530還與另一個總部位于朝鮮的團體有聯(lián)系，該團體被稱為DarkSeoul或Andariel。研究人員觀察了這兩個團體之間的通信，他們說，H0lyGh0st也使用PLUTONIUM獨家創(chuàng)建的工具。

兩個家庭的故事

研究人員表示，自2021年6月開始使用勒索軟件以來直到2022年5月，H0lyGh0st共雇傭了兩個定制開發(fā)的惡意軟件家族——SiennaPurple和SiennaBlue。MSTIC確定了與這些家族相關(guān)的四種變體：BTLC_C.exe、HolyRS.exe、HolyLock.exe和BLTC.exe。

研究人員表示，BTLC_C.exe是用C++編寫的，被歸類為SiennaPurple，其余的則用開源Go編程語言編寫。他們說，所有變體都編譯成.exe，以針對Windows系統(tǒng)。

BLTC_C.exe是由該集團開發(fā)的便攜式勒索軟件，于2021年6月首次推出。然而研究人員表示，這可能是該集團開發(fā)工作的早期版本，因為與SiennaBlue家族的所有惡意軟件變體相比，它沒有太多功能。

研究人員表示，在該小組的后期，即2021年10月至2022年5月期間，MSTIC觀察到一組用Go編寫的新DEV-0530勒索軟件變體，并將其歸類為SiennaBlue變體。

研究人員觀察到，盡管隨著時間的推移，各種變體中都添加了新的威脅攻擊功能，但SiennaBlue家族中的所有勒索軟件都具有相同的核心圍棋功能。研究人員表示，這些功能包括各種加密選項、字符串混淆、公鑰管理以及對互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的支持。

自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

新興的H0lyGh0st勒索軟件與朝鮮有關(guān)聯(lián)

H0lyGh0st簡介

兩個家庭的故事

最近的變體