卡巴斯基專家披露Maui 勒索軟件與朝鮮 Andariel APT 組織聯系
卡巴斯基的專家將 Maui 勒索軟件與朝鮮支持的 Andariel APT 組織聯系起來,該集團被認為是Lazarus APT 集團的一個部門。Maui 勒索軟件對提供醫療保健服務的服務器進行加密,包括電子健康記錄服務、診斷服務、影像服務和內聯網服務。
卡巴斯基專家注意到,在將 Maui 勒索軟件部署到初始目標系統之前大約 10 小時,威脅參與者在 3proxy 幾個月前部署了眾所周知的DTrack惡意軟件的變體到目標。這兩個惡意代碼都被認為是 Andariel 武器庫的一部分。
卡巴斯基專家發現,在針對日本、俄羅斯、印度和越南公司的攻擊中使用的 DTrack 變體與歸于 Andariel APT 的網絡間諜活動中使用的樣本具有 84% 的代碼相似性。Andariel APT(又名 Stonefly)至少自 2015 年以來一直活躍,它參與了數起歸咎于朝鮮政府的攻擊。
研究人員推測,威脅行為者相當投機取巧,并可能針對全球任何財務狀況良好且網絡服務易受攻擊的公司。
根據這次攻擊的手法,卡巴斯基得出結論,毛伊島勒索件事件背后的攻擊者 TTP 與過去的 Andariel/Stonefly/Silent Chollima 活動非常相似:
- 在初始感染后使用合法代理和隧道工具或部署它們以保持訪問權限,并使用 Powershell 腳本和 Bitsadmin 下載其他惡意軟件
- 使用漏洞攻擊已知但未修補的易受攻擊的公共服務,例如 WebLogic 和 HFS
- 獨家部署DTrack,又稱Preft
- 在目標網絡中的停留時間可以在活動前持續數月
- 在全球范圍內部署勒索軟件,展示持續的財務動機和興趣規模
2020 年 4 月,美國國務院、財政部、國土安全部和聯邦調查局發布了一份聯合公告 ,警告世界各地的組織注意朝鮮民族國家行為者對美國構成的“重大網絡威脅”。全球銀行和金融機構。
當時,美國政府還向任何能夠提供“有關與朝鮮有關的 APT 組織開展的活動信息的人”提供高達 500 萬美元的獎金。當局還將為有關過去黑客活動的信息付費。
7 月,美國國務院將獎勵增加到 1000 萬美元。
掌握與朝鮮相關的 APT 組織(例如 Andariel、 APT38、 Bluenoroff、和平守護者、 Kimsuky或 Lazarus 集團)相關的任何個人信息并參與針對美國關鍵基礎設施違反計算機欺詐的人和濫用法案,可能有資格獲得獎勵。
