研究人员将两次定向勒索软件攻击归因于Lazarus黑客组织

Lazarus VHD Ransomware

好莱坞会让您相信,穿着连帽衫的青少年黑客可以从父母地下室的不适中带走价值数十亿美元的整个企业巨头。但是,在现实世界中,事情并非真的如此。复杂的网络攻击是由经验丰富的犯罪分子实施的,他们拥有大量资源。

针对特定组织的勒索软件活动是极其复杂的操作,通常涉及几个单独的黑客团队,他们都从事不同的任务。例如,一个团队将负责提供命令与控制(C&C)基础结构,第二个团队将破坏受害人的网络,第三个团队将确保感染尽可能多的计算机,第四个将负责实际的勒索软件有效载荷。卡巴斯基的研究人员在周二的博客文章中更详细地描述了该系统,但他们也提到了该规则的一些例外情况。

VHD勒索软件引起了专家的注意

卡巴斯基专家描述的两次网络攻击的有效载荷是VHD勒索软件–一种相对较新的文件加密恶意软件,几个月前就出现了。勒索软件本身并不是特别复杂。它爬过受感染主机的硬盘,使用AES和RSA组合加密文件,并删除系统还原点,以使检索数据变得更加困难。但是,攻击的一些特征确实引起了研究人员的注意。

第一个是在三月份启动的,专家们注意到它涉及一种非常有趣的机制,可以通过受害者的网络进行传播。借助自动化工具,黑客使用了特定于受害者的SMB凭据列表,将其暴力破解到其他计算机上,并在成功连接到其他计算机之后,他们复制了VHD勒索软件有效负载并通过WMI调用对其进行了执行。

这些不是普通黑客团队会使用的技术,专家们知道他们可能正在研究更严肃的东西。几个月后,当他们被要求对另一起以VHD勒索软件为特征的攻击做出响应时,他们的感觉也一样。

这次,最初的进入点是一个易受攻击的VPN网关,黑客可以通过该网关获得管理权限并部署后门。犯罪分子破坏了受害者的Active Directory服务器后,便开始将VHD勒索软件的副本分发给未指定数量的计算机。

当他们仔细观察后门时,研究人员意识到了他们所要处理的问题。

拉撒路连接

当研究人员确定第二次攻击中使用的后门是他们所谓的MATA恶意软件框架的一个实例时,一分钱掉了下来。

过去我们曾讨论过网络安全领域中的归因有多难,但是经过仔细研究,卡巴斯基的专家们非常确定MATA框架是由臭名昭著的Lazarus黑客组织创建并使用的。

Lazarus是一支由复杂的黑客组成的团队,负责许多大规模的网络攻击,包括2014年的Sony泄漏以及OlympicDestroyer抽头的发布,该抽头在2018年平昌冬奥会之前瘫痪了关键的IT基础架构。Lazarus被认为与朝鲜政府,其名称与从经济动机的攻击到大型网络间谍活动的任何事物都有关联。据卡巴斯基介绍,VHD勒索软件是他们的最新产品。

勒索软件可能不是特别复杂,但是在其他任何攻击中都没有看到过,研究人员很确定黑客不会从另一个网络犯罪团伙那里租用它。同时,他们非常确定拉撒路是唯一能够使用3月和5月袭击事件中使用的工具和技术的人员。

拉扎路斯没有与其他网络犯罪组织分享利润,而是决定单独使用VHD勒索软件。只有时间会证明这是否是一个好策略,但是考虑到该组织杰出的破坏性网络攻击组合,我们不会反对。如果您运营的组织可能是Lazarus的目标,则必须确保在威胁模型中使用VHD勒索软件的勒索软件攻击。

July 29, 2020

发表评论