卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系

admin 2022年8月11日13:01:06评论28 views字数 1155阅读3分51秒阅读模式

卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系


卡巴斯基的专家将 Maui 勒索软件与朝鲜支持的 Andariel APT 组织联系起来,该集团被认为是Lazarus APT 集团的一个部门。Maui 勒索软件对提供医疗保健服务的服务器进行加密,包括电子健康记录服务、诊断服务、影像服务和内联网服务。

 

卡巴斯基专家注意到,在将 Maui 勒索软件部署到初始目标系统之前大约 10 小时,威胁参与者在 3proxy 几个月前部署了众所周知的DTrack恶意软件的变体到目标。这两个恶意代码都被认为是 Andariel 武器库的一部分。

 

卡巴斯基专家发现,在针对日本、俄罗斯、印度和越南公司的攻击中使用的 DTrack 变体与归于 Andariel APT 的网络间谍活动中使用的样本具有 84% 的代码相似性。Andariel APT(又名 Stonefly)至少自 2015 年以来一直活跃,它参与了数起归咎于朝鲜政府的攻击。

 

研究人员推测,威胁行为者相当投机取巧,并可能针对全球任何财务状况良好且网络服务易受攻击的公司。

 

卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系


根据这次攻击的手法,卡巴斯基得出结论,毛伊岛勒索件事件背后的攻击者 TTP 与过去的 Andariel/Stonefly/Silent Chollima 活动非常相似:



  • 在初始感染后使用合法代理和隧道工具或部署它们以保持访问权限,并使用 Powershell 脚本和 Bitsadmin 下载其他恶意软件


  • 使用漏洞攻击已知但未修补的易受攻击的公共服务,例如 WebLogic 和 HFS

     

  • 独家部署DTrack,又称Preft

     

  • 在目标网络中的停留时间可以在活动前持续数月


  • 在全球范围内部署勒索软件,展示持续的财务动机和兴趣规模

2020 年 4 月,美国国务院、财政部、国土安全部和联邦调查局发布了一份联合公告 ,警告世界各地的组织注意朝鲜民族国家行为者对美国构成的“重大网络威胁”。全球银行和金融机构。

 

当时,美国政府还向任何能够提供“有关与朝鲜有关的 APT 组织开展的活动信息的人”提供高达 500 万美元的奖金。当局还将为有关过去黑客活动的信息付费。

 

7 月,美国国务院将奖励增加到 1000 万美元。

 

掌握与朝鲜相关的 APT 组织(例如 Andariel、  APT38、  Bluenoroff、和平守护者、  Kimsuky或 Lazarus 集团)相关的任何个人信息并参与针对美国关键基础设施违反计算机欺诈的人和滥用法案,可能有资格获得奖励。

精彩推荐

实施制裁!美国将与朝鲜黑客有关的加密货币 Tornado Cash公司列入黑名单

2022.08.10

卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系

美国海军发起“网络龙行动”预计培养数百名网络安全人才

2022.08.09

卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系

Twitter 证实,零日漏洞致540万账户数据泄露

2022.08.08

卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系

卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系

卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系


卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系

注:本文由E安全编译报道,转载请联系授权并注明来源。

原文始发于微信公众号(E安全):卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月11日13:01:06
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   卡巴斯基专家披露Maui 勒索软件与朝鲜 Andariel APT 组织联系https://cn-sec.com/archives/1231232.html

发表评论

匿名网友 填写信息