美韓聯合警告關鍵部門小心朝鮮勒索軟件攻擊

美國和韓國機構警告說，朝鮮政府利用與朝鮮有聯系的黑客組織對關鍵基礎設施進行的勒索軟件攻擊為其惡意網絡行動提供資金。

美國 CISA 發布了一份網絡安全公告 (CSA)，向網絡防御者提供有關威脅行為者的信息。關于針對醫療保健和公共衛生部門，組織以及其他關鍵基礎設施部門實體的持續勒索軟件活動的聯合 CSA 是美國國家安全局 (NSA)、美國聯邦調查局 (FBI)、美國網絡安全局之間合作的結果和基礎設施安全局 (CISA)、美國衛生與公眾服務部 (HHS)、韓國 (ROK) 國家情報局 (NIS) 和韓國國防安全局 (DSA)（以下簡稱“創作機構”）。

“該通報重點介紹了朝鮮網絡攻擊者用來訪問醫療保健和公共衛生 (HPH) 部門組織和其他關鍵基礎設施部門實體并對其進行勒索軟件攻擊的 TTP 和 IOC，以及朝鮮網絡攻擊者使用加密貨幣索要贖金的行為。” 閱讀聯合資訊。

據報道，這些朝鮮威脅行為者購買了虛擬專用網絡 (VPN) 和虛擬專用服務器 (VPS) 或第三國 IP 地址以隱藏其位置。他們利用各種常見漏洞來獲取訪問權限并提升網絡權限政府機構詳細說明了與朝鮮 APT 組織相關的 TTP，例如：

• 獲取基礎設施 “ T1583 ”。威脅行為者生成域、角色和賬戶；并識別加密貨幣服務以執行其勒索軟件操作。
• 混淆身份。威脅行為者通過使用第三方外國附屬機構身份或以第三方外國附屬機構身份開展業務來故意混淆他們的參與，并使用第三方外國中介機構接收贖金。
• 購買 VPN 和 VPS “T1583.003 ”。威脅行為者使用虛擬專用網絡 (VPN) 和虛擬專用服務器 (VPS) 或第三國 IP 地址來隱藏攻擊源。
• 獲得訪問權限 “TA0001 ”。威脅參與者利用各種常見漏洞，包括CVE 2021-44228、CVE-2021-20038和CVE-2022-24990。該公告還指出，攻擊者在攻擊中使用了“X-Popup”的特洛伊木馬化文件，這是韓國中小型醫院員工常用的開源信使。
• 橫向移動和發現 "TA0007， TA0008 "。攻擊者使用帶有定制惡意軟件的分階段有效載荷來執行偵察活動、上傳和下載其他文件和可執行文件，以及執行 shell 命令 "T1083、 T1021 "。該惡意軟件還用于收集受害者信息并將其發送到遠程主機 "TA0010"。
• 使用各種勒索軟件工具 "TA0040"。攻擊者使用私人開發的勒索軟件，例如 Maui 和 H0lyGh0st，以及其他勒索軟件系列，包括 BitLocker、Deadbolt、ech0raix、GonnaCry、Hidden Tear、Jigsaw、LockBit 2.0、My Little Ransomware、NxRansomware、Ryuk和 YourRansom "T1486"。
• 以加密貨幣索要贖金。民族國家行為者要求用比特幣支付贖金 "T1486 "。他們通過 Proton Mail 電子郵件賬戶與受害者溝通。

在獲得初始訪問權限后，觀察到這些朝鮮網絡參與者使用帶有定制惡意軟件的分階段有效載荷來執行偵察活動和執行 shell 命令等技術。在這些活動中，一直部署私人開發的勒索軟件，并以比特幣為贖金要求。

為了抵御這些威脅，CISA 咨詢提倡幾種緩解措施，例如通過驗證和加密連接來限制對數據的訪問，在賬戶中使用最小權限的概念以及為網絡和資產創建多層防御。

根據Xage Security聯合創始人兼產品高級副總裁 Roman Arutyunov的說法，關鍵基礎設施提供商應該接受這些變化，盡管與此類實施相關的技術困難。

Arutyunov在一封電子郵件中告訴Infosecurity：“我確實認識到，當涉及到進行安全架構更改的困難時，存在恐懼，但有可用的工具來平滑過渡并同時增強安全性和操作。”

“最終，會有更多的威脅到來，所以現在就開始這個過程是明智的。”在 Proofpoint 研究人員揭露了一個名為 TA444 的新朝鮮網絡攻擊者后數周，CISA 發布了咨詢報告。