研究人員發現，加密貨幣竊賊集團Lazarus似乎正在擴大其攻擊范圍，通過使用勒索軟件來敲詐亞太地區（APAC）地區的金融機構和其他目標。而金融交易中出現的新型VHD的勒索軟件菌株因為與以前惡意軟件中的病毒具有相似之處，因此研究人員也將該病毒菌株與朝鮮威脅行為者（也稱為Unit 180或APT35）聯系起來。

在過去的幾年里，網絡安全公司Trellox的研究人員一直在跟蹤研究他們所認為的朝鮮網絡軍隊對金融機構的攻擊——該網絡軍隊通常來自于一個名為Lazarus集團的組織。該組織一直因被認為是通過洗錢計劃竊取加密貨幣，并以此為朝鮮政府籌集相關資金而出名。

然而，根據Trllix本周在一篇博客文章中透露的內容顯示，Lazarus似乎也玩勒索軟件游戲至少一年了。研究人員表示，比特幣交易和與該集團之前使用的勒索軟件代碼連接的關系，使得他們認為2020年3月出現的VHD勒索軟件可能是APT38的“杰作”。

金融攻擊引起懷疑

Trellix研究員Christian Beek的帖子顯示，將Lazarus與VHD聯系起來的一個重要原因是，2016年2月威脅行為者試圖通過SWIFT系統向其他銀行的收款人轉移近10億美元。

 Beek在帖子中寫道：由幾家美國機構主導進行的調查發現了一名被稱為“隱藏眼鏡蛇”的朝鮮演員。從那時起，該組織的網絡攻擊活動就一直很活躍，并損害了許多受害者的切身利益。

自2014年以來一直活躍的隱藏眼鏡蛇被認為是Lazarus集團的作品。2017年，聯邦調查局警告說，該組織正在針對美國企業進行惡意軟件和僵尸網絡相關的攻擊。

Beek認為：隨著時間的推移，他們研究人員觀察到了朝鮮用來賺錢的幾種方法，盡管不像其他團體那樣經常觀察到，但是Lazarus集團其中也有人試圖進入勒索軟件世界以此籌集資金。

Trellix在過去幾年里關注了與朝鮮有聯系的行為者對金融機構的攻擊，如全球銀行、區塊鏈提供商和韓國用戶。研究人員指出，攻擊者使用的策略包括魚叉式網絡釣魚電子郵件以及使用虛假的移動應用程序和公司。

Beek寫道：“由于這些襲擊主要針對亞太地區，例如日本和馬來西亞，我們預計這些襲擊可能是為了驗證勒索軟件是否是獲得收入的寶貴方式。”

代碼鏈接

Beek與Trellox研究人員認為，勒索軟件已成為朝鮮網絡軍隊工具包的一部分。研究員們通過VHD代碼進行窺視，并以此希望找到他們認為可以指向與以前勒索軟件的相似之處。

Beek的團隊從2020年3月開始，便以這些[代碼]塊為起點，開始尋找相關軟件軟件。研究人員在VHD代碼中確定了已知被朝鮮威脅行為者使用的四個勒索軟件家族的代碼——BGEAF、PXJ、ZZZ和CHiCHi。雖然Tflower和ChiChi家族只與VHD共享通用功能代碼，但ZZZZ勒索軟件幾乎是Beaf勒索軟件家族的完全克隆，明顯該家族已與朝鮮有關。

Beek補充認為：另一種觀察得到的結論是，勒索軟件“BEAF”的四個字母......與APT38被稱為Beefeater的工具握手的前四個字節完全相同。研究人員表示，在VHD中使用MATA框架——該框架已被用于傳播Tflower勒索軟件家族——也將VHD與Lazarus聯系起來，因為MATA之前曾與朝鮮有關聯。

追蹤錢的線路

然后，研究人員調查了與朝鮮有聯系的各種勒索軟件家族，這些家庭似乎都針對亞太地區的特定實體，研究人員試圖在這期間找到財務重疊。Beek寫道，他們提取了比特幣錢包地址，并開始跟蹤和監控交易，盡管他們自己沒有發現錢包中存在重疊的信息。他表示，團隊確實發現已支付的贖金金額相對較小。對于此情況，他歸因于朝鮮演員的勒索軟件家族之間的工作模式。例如，研究人員發現，2020年年中2.2比特幣的交易價值約20萬美元，并在2020年12月前多次轉賬。他們說，當時，在比特幣交易所進行了一筆交易，要么兌現——因為價值大約翻了一番——要么兌換另一種不同且可追溯性較低的加密貨幣。

Beek寫道：研究團隊懷疑勒索軟件家族......是更有組織的攻擊中必不可少的一部分。根據他們的研究、綜合情報以及對較小的定向勒索軟件攻擊的觀察，Trellox將它們歸功于[朝鮮]高度自信的黑客。

本文翻譯自：https://threatpost.com/vhd-ransomware-lazarus-group/179507/如若轉載，請注明原文地址。