VHD勒索软件与朝鲜拉撒路集团的关联

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

网络安全公司Trellix的研究人员表示，源代码和比特币交易指向了自2020年3月以来出现的一种名为VHD的勒索软件，这很可能是APT38（也称为Unit 180或APT35）的作品。

朝鲜黑客的新动向

以盗窃加密货币而闻名的拉撒路集团似乎正在扩大其活动范围，利用勒索软件攻击亚太地区（APAC）的金融机构和其他目标。研究人员发现，金融交易以及该恶意软件源代码与先前已知恶意软件之间的相似性，将最近出现的一种名为VHD的勒索软件与朝鲜威胁行为者联系起来。

Trellix一直在追踪近年来疑似来自朝鲜网络部队——通常由拉撒路集团发起的——针对金融机构的攻击。这个组织以其在洗钱计划中窃取加密货币市场资金为朝鲜政府筹款的能力而闻名。然而，Trellix本周在其博客文章中透露，拉撒路集团至少从一年前就开始涉足勒索软件领域。研究人员发现，比特币交易以及与该组织之前使用的勒索软件代码的关联表明，2020年3月首次出现的VHD很可能就是APT38的手笔。

财务攻击引发怀疑

将拉撒路集团与VHD勒索软件联系起来的一个重要线索是2016年2月的一次尝试，当时威胁行动者试图通过SWIFT系统将近10亿美元转移到其他银行的接收方。根据Trellix研究员Christian Beek的文章，美国多个机构的调查最终指向了一名被称为“隐秘眼镜蛇”（Hidden Cobra）的朝鲜行动者。“自那以后，该组织一直活跃，并且危害了众多受害者。”

隐秘眼镜蛇自2014年起就非常活跃，被认为是拉撒路集团的杰作。2017年，FBI警告称该组织正在针对美国企业发动恶意软件和僵尸网络相关攻击。

Beek写道：“随着时间推移，我们观察到朝鲜使用了多种手段来获取资金。尽管不如其他团体那么频繁，但他们也曾尝试进入勒索软件的世界。”

源代码揭示真相

知道勒索软件已成为朝鲜网络部队工具箱的一部分后，Trellix的研究人员深入研究了VHD的代码，发现了他们认为指向前述勒索软件重用的相似之处。Beek写道：“以这些[代码]块作为起点，我们从2020年3月开始寻找相关的家族。”

研究人员在VHD的代码中识别出了四个已知被朝鲜威胁行为者使用的勒索软件家族——BGEAF、PXJ、ZZZZ和CHiCHi。虽然Tflower和ChiChi家族只与VHD共享通用功能代码，“ZZZZ勒索软件几乎是Beaf勒索软件家族的完全克隆”，而后者已被链接至朝鲜。Beek补充说：“另一个观察结果是，勒索软件‘BEAF’的四个字母……正是APT38所使用的工具Beefeater握手时的前四个字节。”

此外，VHD中使用的MATA框架也被用来传播Tflower勒索软件家族，这也进一步将VHD与拉撒路集团联系起来，因为MATA此前就被认为与朝鲜有关。

追踪资金流向

随后，研究人员对所有已知与朝鲜有关联的勒索软件家族进行了调查，这些勒索软件似乎都专门针对亚太地区的特定实体，试图找到它们之间的财务交集。

他们提取了比特币钱包地址并开始追踪和监控交易记录，尽管没有直接找到钱包间的交集，但Beek写道：“我们确实发现支付的赎金金额相对较小。”例如，2020年中期的一笔2.2比特币的交易价值约为2万美元，并在2020年12月期间多次转账。当时，这笔交易在一个比特币交易所发生，可能为了套现——因为其价值大约翻了一番——或者兑换成另一种更难以追踪的加密货币。

Beek总结道：“我们怀疑这些勒索软件家族……是更为有组织的攻击的一部分。基于我们的研究、综合情报以及对小规模定向勒索软件攻击的观察，Trellix高度自信地将其归因于[朝鲜]黑客。”

随着勒索软件成为网络犯罪分子越来越受欢迎的选择，企业和个人必须提高警惕，加强安全措施，以抵御这类复杂且不断演进的威胁。同时，国际社会也需要加强合作，共同打击跨国网络犯罪，保护全球网络安全。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：VHD勒索软件与朝鲜拉撒路集团的关联