卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系
卡巴斯基的专家将 Maui 勒索软件与朝鲜支持的 Andariel APT 组织联系起来,该集团被认为是Lazarus APT 集团的一个部门。Maui 勒索软件对提供医疗保健服务的服务器进行加密,包括电子健康记录服务、诊断服务、影像服务和内联网服务。
卡巴斯基专家注意到,在将 Maui 勒索软件部署到初始目标系统之前大约 10 小时,威胁参与者在 3proxy 几个月前部署了众所周知的DTrack恶意软件的变体到目标。这两个恶意代码都被认为是 Andariel 武器库的一部分。
卡巴斯基专家发现,在针对日本、俄罗斯、印度和越南公司的攻击中使用的 DTrack 变体与归于 Andariel APT 的网络间谍活动中使用的样本具有 84% 的代码相似性。Andariel APT(又名 Stonefly)至少自 2015 年以来一直活跃,它参与了数起归咎于朝鲜政府的攻击。
研究人员推测,威胁行为者相当投机取巧,并可能针对全球任何财务状况良好且网络服务易受攻击的公司。
根据这次攻击的手法,卡巴斯基得出结论,毛伊岛勒索件事件背后的攻击者 TTP 与过去的 Andariel/Stonefly/Silent Chollima 活动非常相似:
- 在初始感染后使用合法代理和隧道工具或部署它们以保持访问权限,并使用 Powershell 脚本和 Bitsadmin 下载其他恶意软件
- 使用漏洞攻击已知但未修补的易受攻击的公共服务,例如 WebLogic 和 HFS
- 独家部署DTrack,又称Preft
- 在目标网络中的停留时间可以在活动前持续数月
- 在全球范围内部署勒索软件,展示持续的财务动机和兴趣规模
2020 年 4 月,美国国务院、财政部、国土安全部和联邦调查局发布了一份联合公告 ,警告世界各地的组织注意朝鲜民族国家行为者对美国构成的“重大网络威胁”。全球银行和金融机构。
当时,美国政府还向任何能够提供“有关与朝鲜有关的 APT 组织开展的活动信息的人”提供高达 500 万美元的奖金。当局还将为有关过去黑客活动的信息付费。
7 月,美国国务院将奖励增加到 1000 万美元。
掌握与朝鲜相关的 APT 组织(例如 Andariel、 APT38、 Bluenoroff、和平守护者、 Kimsuky或 Lazarus 集团)相关的任何个人信息并参与针对美国关键基础设施违反计算机欺诈的人和滥用法案,可能有资格获得奖励。
