专家揭开朝鲜黑客攻击毛伊岛勒索软件的细节

2021 年 4 月 15 日，第一次可能涉及被称为 Maui 的勒索软件家族的事件，针对的是一家未具名的日本住房公司。

卡巴斯基的披露是在美国网络安全和情报机构发布关于至少自 2021 年 5 月以来朝鲜政府支持的黑客使用勒索软件攻击医疗保健行业的咨询后一个月发布的。

有关其作案手法的大部分数据来自事件响应活动和对毛伊岛样本的行业分析，该样本显示缺乏通常与勒索软件即服务 (RaaS) 操作相关的“几个关键特征”。

Maui 不仅设计为由远程参与者通过命令行界面手动执行，而且值得注意的是它不包括提供恢复指令的赎金记录。

随后，司法部宣布没收价值 500,000 美元的比特币，这些比特币是通过使用勒索软件从多个组织勒索的，其中包括美国堪萨斯州和科罗拉多州的两家医疗机构。

虽然这些攻击是针对朝鲜先进的持续性威胁组织，但这家俄罗斯网络安全公司已将这种具有低到中等可信度的网络犯罪与一个名为Andariel的 Lazarus 子组织联系起来，该组织也被称为特洛伊行动、沉默的千里马和 Stonefly。

卡巴斯基研究人员 Kurt Baumgartner 和 Seongsu Park表示： “在 [4 月 15 日] 将 Maui 部署到初始目标系统之前大约 10 小时，该组织将著名的 Dtrack 恶意软件的变体部署到目标，在 3个月前部署了该恶意软件。” .

Dtrack，也称为 Valefor 和 Preft，是 Stonefly 组织在其间谍攻击中用于泄露敏感信息的远程访问木马。

值得指出的是，该后门与 3proxy 一起，是由攻击者通过利用Log4Shell 漏洞于 2022 年 2 月针对一家在能源和军事领域工作的工程公司部署的。

“Stonefly 专门针对可能产生情报的目标发起高度选择性的针对性攻击，以协助能源、航空航天和军事设备等具有战略意义的部门，”博通软件部门的赛门铁克在 4 月表示。

此外，卡巴斯基表示，日本茂宜岛事件中使用的 Dtrack 样本还被用于从 2021 年 12 月至 2021 年 2 月期间入侵印度、越南和俄罗斯的多个受害者。

研究人员说：“我们的研究表明，该行为者相当投机取巧，可以危害世界各地的任何公司，无论其业务范围如何，只要该公司享有良好的财务状况。”

这不是安达利尔第一次使用勒索软件为受制裁的国家谋取金钱利益。2021 年 6 月，一家韩国实体在经过精心设计的多阶段感染程序后被文件加密恶意软件感染，该程序从武器化的 Word 文档开始。

然后上个月，微软披露，自 2021 年 9 月以来，与 Andariel 相关的新兴威胁集群一直在使用名为H0lyGh0st的勒索软件攻击针对小型企业的网络攻击。