与朝鲜Lazarus集团有关的VHD勒索软件
发布时间:2022-06-18 10:46:36 所属栏目:安全 来源:互联网
导读:研究人员发现,加密货币窃贼集团Lazarus似乎正在扩大其攻击范围,通过使用勒索软件来敲诈亚太地区(APAC)地区的金融机构和其他目标。而金融交易中出现的新型VHD的勒索软件菌株因为与以前恶意软件中的病毒具有相似之处,因此研究人员也将该病毒菌株与朝鲜
|
研究人员发现,加密货币窃贼集团Lazarus似乎正在扩大其攻击范围,通过使用勒索软件来敲诈亚太地区(APAC)地区的金融机构和其他目标。而金融交易中出现的新型VHD的勒索软件菌株因为与以前恶意软件中的病毒具有相似之处,因此研究人员也将该病毒菌株与朝鲜威胁行为者(也称为Unit 180或APT35)联系起来。 在过去的几年里,网络安全公司Trellox的研究人员一直在跟踪研究他们所认为的朝鲜网络军队对金融机构的攻击——该网络军队通常来自于一个名为Lazarus集团的组织。该组织一直因被认为是通过洗钱计划窃取加密货币,并以此为朝鲜政府筹集相关资金而出名。 然而,根据Trllix本周在一篇博客文章中透露的内容显示,Lazarus似乎也玩勒索软件游戏至少一年了。研究人员表示,比特币交易和与该集团之前使用的勒索软件代码连接的关系,使得他们认为2020年3月出现的VHD勒索软件可能是APT38的“杰作”。 Beek与Trellox研究人员认为,勒索软件已成为朝鲜网络军队工具包的一部分。研究员们通过VHD代码进行窥视,并以此希望找到他们认为可以指向与以前勒索软件的相似之处。 Beek的团队从2020年3月开始,便以这些[代码]块为起点,开始寻找相关软件软件。研究人员在VHD代码中确定了已知被朝鲜威胁行为者使用的四个勒索软件家族的代码——BGEAF、PXJ、ZZZ和CHiCHi。虽然Tflower和ChiChi家族只与VHD共享通用功能代码,但ZZZZ勒索软件几乎是Beaf勒索软件家族的完全克隆,明显该家族已与朝鲜有关。 Beek补充认为:另一种观察得到的结论是,勒索软件“BEAF”的四个字母......与APT38被称为Beefeater的工具握手的前四个字节完全相同。研究人员表示,在VHD中使用MATA框架——该框架已被用于传播Tflower勒索软件家族——也将VHD与Lazarus联系起来,因为MATA之前曾与朝鲜有关联。 追踪钱的线路 然后,研究人员调查了与朝鲜有联系的各种勒索软件家族,这些家庭似乎都针对亚太地区的特定实体,研究人员试图在这期间找到财务重叠。Beek写道,他们提取了比特币钱包地址,并开始跟踪和监控交易,尽管他们自己没有发现钱包中存在重叠的信息。他表示,团队确实发现已支付的赎金金额相对较小。对于此情况,他归因于朝鲜演员的勒索软件家族之间的工作模式。例如,研究人员发现,2020年年中2.2比特币的交易价值约20万美元,并在2020年12月前多次转账。他们说,当时,在比特币交易所进行了一笔交易,要么兑现——因为价值大约翻了一番——要么兑换另一种不同且可追溯性较低的加密货币。 Beek写道:研究团队怀疑勒索软件家族......是更有组织的攻击中必不可少的一部分。根据他们的研究、综合情报以及对较小的定向勒索软件攻击的观察,Trellox将它们归功于[朝鲜]高度自信的黑客。 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号