首页 > 安全 > 正文

专家将多个勒索软件菌株联系起来

最后更新 :2022.05.04

Trellix的研究人员将多个勒索软件菌株连接到朝鲜支持的APT38组。

勒索软件用于对金融机构的攻击,专家估计APT38(北韩国武装部队121号北部第180章))从全球银行偷走了数百万美元。

APT38似乎是与臭名昭著的Lazarus集团分开的朝鲜群体,至少从2014年开始就很活跃,并且已经观察到针对11个国家 /地区的16个组织。

一份Mandiants的报告将迅速银行系统的一系列攻击归因于APT38,包括2015年越南TP银行的黑客攻击,2016年孟加拉国的中央银行在2016年,台湾台湾的北BSP; nbsp; nbsp; nbsp; nbsp; nbsp;; 2018年在墨西哥,以及2018年的Banco de Chile 

对安全公司的调查始于迪斯科夫妇在2020年3月的威胁环境中,“ VHD勒索软件”的“ VHD勒索软件”。MATA恶意软件框架可以针对Windows,Linux和MacOS操作系统。

恶意软件框架实现了广泛的功能,使攻击者能够完全控制受感染的系统。

VHD勒索软件的源代码的分析揭示了与其他恶意软件的许多相似之处家庭,包括Beaf勒索软件,PXJ勒索软件,Zzzz勒索软件和Chichi勒索软件。

除了代码相似的狩猎外,还提到了“ Tflower lansomware”家族的传播。框架。另一个观察结果是,勒索软件“ beaf”的四个字母(BEAF是用于加密文件的扩展名),是APT38工具的握手的前四个字节,称为Beefeater。读取Trellix发表的分析。
APT38专家使用希尔伯特曲线可视化diffe的代码租用恶意软件系列,发现PXJ,BEAF和ZZZZ与VHD和Tflower Ransomware共享大量的源代码和功能,而Beaf和Zzzz几乎相同。

专家还比较了勒索软件的内容,并注意到电子邮件地址semenov [。] akkim@protonmail [。] com都存在于“ chichi”和“ zzzz”勒索软件家庭的样本中。

Trellix研究人员还指出,涉及该勒索软件的攻击针对APAC的一组有限的公司,因此,调查威胁行为者的活动并不容易。
专家还跟踪了攻击者用于赎金支付的与比特币(BTC)钱包地址相关的交易,但他们没有发现家庭之间的转移钱包中的任何重叠。
我们我们该博客总结说,怀疑勒索软件家族[..]是更有条理的攻击的一部分。根据我们的研究CH,将智能和对较小的目标勒索软件攻击的观察结合在一起,将它们归因于DPRK关联黑客的秘密。

请投票给安全事务作为最佳欧洲网络安全博客奖2022年的获奖者投票
在“弱者最佳个人(非商业)安全博客和技术WHIZ最佳技术博客和其他选择。提名,请访问: https://docs.google.com/forms/d/d/e/1faipqlsfxxr tocimz9qm9iipumqic-iipumqic-iomqic-iomqic-iom-npqmosfznjxrbbqrbqryjgcryjgcryjgcoreft/1233333333]

- END -

看更多