微軟研究人員通過調(diào)研已經(jīng)將一些損害中小型企業(yè)利益的新興勒索軟件威脅與自去年以來一直活躍的具有財(cái)務(wù)動機(jī)的朝鮮國家贊助的行為者聯(lián)系起來����。
創(chuàng)新互聯(lián)公司專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù),包含不限于成都網(wǎng)站制作��、網(wǎng)站設(shè)計(jì)��、龍城網(wǎng)絡(luò)推廣��、小程序設(shè)計(jì)��、龍城網(wǎng)絡(luò)營銷����、龍城企業(yè)策劃、龍城品牌公關(guān)����、搜索引擎seo、人物專訪�����、企業(yè)宣傳片�����、企業(yè)代運(yùn)營等,從售前售中售后�,我們都將竭誠為您服務(wù),您的肯定�����,是我們最大的嘉獎�;創(chuàng)新互聯(lián)公司為所有大學(xué)生創(chuàng)業(yè)者提供龍城建站搭建服務(wù),24小時服務(wù)熱線:13518219792��,官方網(wǎng)址:www.cdcxhl.com
根據(jù)調(diào)查顯示��,自2021年6月以來�,微軟威脅情報(bào)中心(MSTIC)的研究人員追蹤事件名為DEV-0530,發(fā)現(xiàn)自稱H0lyGh0st的團(tuán)隊(duì)一直在攻擊中使用勒索軟件����。
MTIC和微軟數(shù)字安全部門(MDSU)的研究人員在周四發(fā)表的一篇博客文章中表示,早在9月份�����,H0lyGh0st集團(tuán)就成功破壞了多個國家的中小型企業(yè)的網(wǎng)絡(luò)設(shè)備��,其中包括制造組織���、銀行�����、學(xué)校以及活動和會議規(guī)劃公司�。
H0lyGh0st的標(biāo)準(zhǔn)作案手法是通過同名勒索軟件使用文件擴(kuò)展名.h0lyenc加密目標(biāo)設(shè)備上的所有文件���,然后向受害者發(fā)送文件樣本作為證據(jù)�����。研究人員表示��,該組織在其維護(hù)的.onion網(wǎng)站上與受害者互動����,并在該網(wǎng)站上為受害者提供聯(lián)系表格��。
該集團(tuán)通常要求用比特幣付款����,以換取恢復(fù)對文件的訪問。研究人員表示���,H0lyGh0st在其網(wǎng)站上聲稱�����,如果受害者向他們付費(fèi)���,它不會出售或發(fā)布受害者數(shù)據(jù)����。然而���,它使用雙重敲詐勒索來迫使目標(biāo)付款�,威脅要在社交媒體上發(fā)布被盜數(shù)據(jù)��,或者如果他們不符合贖金要求�����,就將其發(fā)送給受害者的客戶�。
H0lyGh0st簡介
研究人員表示,H0lyGh0st的勒索軟件活動是出于經(jīng)濟(jì)動機(jī)而發(fā)生�,研究人員觀察到他們所攔截到的贖金紙條文本。攻擊者在文本上聲稱他們的目標(biāo)是為了“縮小貧富差距”�����。
他們說:“他們還試圖通過聲稱通過讓受害者更多地了解他們的安全態(tài)勢以此來提高受害者的安全意識�,因而促使受害者承認(rèn)他們的行動合法化?���!?/p>
據(jù)MSTIC稱,DEV-0530還與另一個總部位于朝鮮的團(tuán)體有聯(lián)系�����,該團(tuán)體被稱為DarkSeoul或Andariel�����。研究人員觀察了這兩個團(tuán)體之間的通信�,他們說,H0lyGh0st也使用PLUTONIUM獨(dú)家創(chuàng)建的工具�。
兩個家庭的故事
研究人員表示,自2021年6月開始使用勒索軟件以來直到2022年5月�����,H0lyGh0st共雇傭了兩個定制開發(fā)的惡意軟件家族——SiennaPurple和SiennaBlue�����。MSTIC確定了與這些家族相關(guān)的四種變體:BTLC_C.exe、HolyRS.exe���、HolyLock.exe和BLTC.exe����。
研究人員表示�,BTLC_C.exe是用C++編寫的,被歸類為SiennaPurple�����,其余的則用開源Go編程語言編寫�����。他們說�,所有變體都編譯成.exe,以針對Windows系統(tǒng)����。
BLTC_C.exe是由該集團(tuán)開發(fā)的便攜式勒索軟件,于2021年6月首次推出���。然而研究人員表示����,這可能是該集團(tuán)開發(fā)工作的早期版本����,因?yàn)榕cSiennaBlue家族的所有惡意軟件變體相比,它沒有太多功能����。
研究人員表示,在該小組的后期�,即2021年10月至2022年5月期間,MSTIC觀察到一組用Go編寫的新DEV-0530勒索軟件變體����,并將其歸類為SiennaBlue變體。
研究人員觀察到����,盡管隨著時間的推移,各種變體中都添加了新的威脅攻擊功能��,但SiennaBlue家族中的所有勒索軟件都具有相同的核心圍棋功能���。研究人員表示�����,這些功能包括各種加密選項(xiàng)����、字符串混淆、公鑰管理以及對互聯(lián)網(wǎng)和內(nèi)聯(lián)網(wǎng)的支持���。
最近的變體
他們說��,該組織使用的最新勒索軟件變體是BTLC.exe����,研究人員自今年4月以來一直在網(wǎng)絡(luò)上看到����。
研究人員表示,如果無法從設(shè)備訪問ServerBaseURL�����,則BTLC.exe可以配置為使用惡意軟件中硬編碼的默認(rèn)用戶名、密碼和內(nèi)聯(lián)網(wǎng)URL連接到網(wǎng)絡(luò)共享���。
惡意軟件還包括一個持久機(jī)制�,通過它創(chuàng)建或刪除名為lockertask的預(yù)定任務(wù)���,該任務(wù)可以啟動勒索軟件�。他們說�����,一旦惡意軟件作為管理員被成功啟動��,它就會嘗試連接到惡意軟件中硬編碼的默認(rèn)ServerBaseURL����,將公鑰上傳到C2服務(wù)器��,并對受害者驅(qū)動器中的所有文件進(jìn)行加密���。
本文翻譯自:https://threatpost.com/h0lygh0st-ransomware-north-korea/180232/如若轉(zhuǎn)載��,請注明原文地址���。
分享標(biāo)題:新興的H0lyGh0st勒索軟件與朝鮮有關(guān)聯(lián)
標(biāo)題路徑:
http://uogjgqi.cn/article/dpocspj.html
