研究人員將兩次定向勒索軟件攻擊歸因於Lazarus黑客組織

Lazarus VHD Ransomware

好萊塢會讓您相信,穿著連帽衫的青少年黑客可以使整個價值數十億美元的企業巨頭從父母地下室的不適中倒下。但是,在現實世界中,事情並非真的如此。複雜的網絡攻擊是由經驗豐富的犯罪分子實施的,他們擁有大量資源。

針對特定組織的勒索軟件活動是極其複雜的操作,通常涉及幾個單獨的黑客團隊,他們都從事不同的任務。例如,一個團隊將負責提供命令與控制(C&C)基礎結構,第二個團隊將破壞受害人的網絡,第三個團隊將確保感染盡可能多的計算機,第四個將負責實際的勒索軟件有效載荷。卡巴斯基的研究人員在周二的博客文章中更詳細地描述了該系統,但他們也提到了該規則的一些例外情況。

VHD勒索軟件引起了專家的注意

卡巴斯基專家描述的兩次網絡攻擊的有效載荷是VHD勒索軟件–一種相對較新的文件加密惡意軟件,幾個月前就出現了。勒索軟件本身並不是特別複雜。它爬過受感染主機的硬盤,使用AES和RSA組合加密文件,並刪除系統還原點,以使檢索數據變得更加困難。但是,攻擊的一些特徵確實引起了研究人員的注意。

第一個是在三月份啟動的,專家們注意到它涉及一種非常有趣的機制,可以通過受害者的網絡進行傳播。借助自動化工具,黑客使用了特定於受害者的SMB憑據列表,將其暴力破解到其他計算機上,並在成功連接到它們之後,他們複製了VHD勒索軟件有效負載並通過WMI調用對其執行了。

這些不是普通黑客團隊會使用的技術,專家們知道他們可能正在研究更嚴肅的東西。幾個月後,當他們被要求對另一起以VHD勒索軟件為特徵的攻擊做出響應時,他們的感覺也一樣。

這次,最初的進入點是一個易受攻擊的VPN網關,黑客可以通過該網關獲得管理權限並部署後門。犯罪分子破壞了受害者的Active Directory服務器後,便開始將VHD勒索軟件的副本分發給未指定數量的計算機。

當他們仔細研究後門時,研究人員意識到了他們所要處理的問題。

拉撒路連接

當研究人員確定第二次攻擊中使用的後門是他們所謂的MATA惡意軟件框架的一個實例時,一分錢掉了下來。

過去我們曾討論過網絡安全領域中的歸因有多難,但是經過仔細研究,卡巴斯基的專家們非常確定MATA框架是由臭名昭著的Lazarus黑客組織創建並使用的。

Lazarus是一支由複雜的黑客組成的團隊,負責許多大規模的網絡攻擊,包括2014年的Sony洩漏以及OlympicDestroyer抽頭的發布,該抽頭在2018年平昌冬奧會之前癱瘓了關鍵的IT基礎架構。Lazarus被認為與朝鮮政府,它的名字與從經濟動機的攻擊到大型網絡間諜活動的任何事物都有關聯。據卡巴斯基介紹,VHD勒索軟件是他們的最新產品。

勒索軟件可能不是特別複雜,但是在其他任何攻擊中都沒有發現過,研究人員非常確定黑客不會從另一個網絡犯罪團伙那裡租用它。同時,他們非常確定拉撒路是唯一可以使用3月和5月襲擊事件中使用的工具和技術的人員。

拉扎路斯沒有與其他網絡犯罪組織分享利潤,而是決定單獨使用VHD勒索軟件。只有時間會證明這是否是一個好策略,但是考慮到該組織傑出的破壞性網絡攻擊組合,我們不會反對。如果您運營的組織可能是Lazarus攻擊的組織,則必須確保威脅模型中包含使用VHD勒索軟件的勒索軟件攻擊。

July 29, 2020

發表評論