專家揭開朝鮮黑客攻擊毛伊島勒索軟件的細節

2021 年 4 月 15 日，第一次可能涉及被稱為 Maui 的勒索軟件家族的事件，針對的是一家未具名的日本住房公司。

卡巴斯基的披露是在美國網絡安全和情報機構發布關于至少自 2021 年 5 月以來朝鮮政府支持的黑客使用勒索軟件攻擊醫療保健行業的咨詢后一個月發布的。

有關其作案手法的大部分數據來自事件響應活動和對毛伊島樣本的行業分析，該樣本顯示缺乏通常與勒索軟件即服務 (RaaS) 操作相關的“幾個關鍵特征”。

Maui 不僅設計為由遠程參與者通過命令行界面手動執行，而且值得注意的是它不包括提供恢復指令的贖金記錄。

隨后，司法部宣布沒收價值 500,000 美元的比特幣，這些比特幣是通過使用勒索軟件從多個組織勒索的，其中包括美國堪薩斯州和科羅拉多州的兩家醫療機構。

雖然這些攻擊是針對朝鮮先進的持續性威脅組織，但這家俄羅斯網絡安全公司已將這種具有低到中等可信度的網絡犯罪與一個名為Andariel的 Lazarus 子組織聯系起來，該組織也被稱為特洛伊行動、沉默的千里馬和 Stonefly。

卡巴斯基研究人員 Kurt Baumgartner 和 Seongsu Park表示： “在 [4 月 15 日] 將 Maui 部署到初始目標系統之前大約 10 小時，該組織將著名的 Dtrack 惡意軟件的變體部署到目標，在 3個月前部署了該惡意軟件。” .

Dtrack，也稱為 Valefor 和 Preft，是 Stonefly 組織在其間諜攻擊中用于泄露敏感信息的遠程訪問木馬。

值得指出的是，該后門與 3proxy 一起，是由攻擊者通過利用Log4Shell 漏洞于 2022 年 2 月針對一家在能源和軍事領域工作的工程公司部署的。

“Stonefly 專門針對可能產生情報的目標發起高度選擇性的針對性攻擊，以協助能源、航空航天和軍事設備等具有戰略意義的部門，”博通軟件部門的賽門鐵克在 4 月表示。

此外，卡巴斯基表示，日本茂宜島事件中使用的 Dtrack 樣本還被用于從 2021 年 12 月至 2021 年 2 月期間入侵印度、越南和俄羅斯的多個受害者。

研究人員說：“我們的研究表明，該行為者相當投機取巧，可以危害世界各地的任何公司，無論其業務范圍如何，只要該公司享有良好的財務狀況。”

這不是安達利爾第一次使用勒索軟件為受制裁的國家謀取金錢利益。2021 年 6 月，一家韓國實體在經過精心設計的多階段感染程序后被文件加密惡意軟件感染，該程序從武器化的 Word 文檔開始。

然后上個月，微軟披露，自 2021 年 9 月以來，與 Andariel 相關的新興威脅集群一直在使用名為H0lyGh0st的勒索軟件攻擊針對小型企業的網絡攻擊。