Lazarus及其相关组织的财务足迹

近日，美国网络安全研究机构 cnas（新美国安全中心），披露了Lazarus及其相关组织的财务足迹。报告指出，由于网络攻击活动的风险和成本相对较低，而潜在收益却很高，相关组织通过精心设计的网络攻击获取经济收益。这些活动包括，攻击SWIFT（环球银行金融电信协会）的国际资金结算系统、攻击ATM取款机、入侵加密货币交易所、投递勒索软件，要求受害者以加密货币的形式付款。报告认为，攻击者屡次的手的主要原因是，大多数地方对虚拟资产的监管能力明显低于对传统法定货币的监管能力。这种情况为黑客入侵和利用提供了机会，因为这些在线交易的来源和目的地很难追踪。

美国情报界通常将相关的恶意网络活动称为 “ HIDDEN COBRA（隐藏眼镜蛇）”  

报告指出，相关组织具体分工如下：

Lazarus组织，因2014年攻击索尼影业娱乐公司而备受瞩目，2017年WannaCry勒索软件网络攻击以及2016年孟加拉国中央银行网络抢劫案（迄今为止规模最大的一次，损失8100万美元）都被归因于Lazarus组织。有些研究人员认为Lazarus组织内部分成了很多小组，因此将 APT37、APT38、Andarial组织和Bluenoroff组织，也作为Lazarus组织来追踪。

APT37（别名 Reaper、Ricochet Chollima、Group 123）攻击目标主要是韩国、日本、越南和中东地区，攻击领域主要针对各种垂直行业，包括化学品，电子，制造，航空航天，汽车和医疗保健。以下是该组织的一些活动细节：

初始感染策略：专门针对所需目标量身定制的社会工程策略，针对特定网络间谍活动的战略性网络入侵，以及使用torrent文件共享网站无差别地发布恶意软件。

活动特点：经常利用办公软件Hangul（HWP）以及Adobe Flash中的漏洞。

该小组已证明拥有零日漏洞（CVE-2018-0802），以及将其纳入攻击活动的能力。

攻击服务器，消息传递平台和用于躲避检测的云服务提供商。除了用于间谍活动的自制恶意软件外，APT37还拥有具有破坏性的恶意软件。

APT38是一个有经济动机的攻击组织，负责对金融机构网络攻击。自2014年以来，该小组至少攻击了13个不同国家超过16个组织。研究人员发现，随着时间的推移APT38的战术、技术和程序（TTPs）在不断增强。APT38的运作方式与间谍活动更为相似，它不仅仅是简单地获得访问权和尽快转移资金，而且还会在受损的金融机构内仔细进行侦察。以下是该组织的一些活动细节：

初始感染策略：水坑攻击，查找并攻陷Linux服务器，例如含有Apache Struts2漏洞的服务器

活动特点：APT38在彻底摸清目标系统环境，确保行动成功方面做出了巨大努力。他们在目标环境中部署恶意软件，以收集凭据并映射受害者的网络拓扑，而且会采取措施确保进行内部侦察时不被发现。研究人员曾观察到，该攻击组织在被攻陷系统中活动的最长时间是678天（几乎两年）。

对于Andarial组织和Bluenoroff组织，目前披露的信息较少，有报道称，Andarial组织，有1600名左右成员，其任务是通过收集信息对受害者网络进行侦察，并初步评估网络的漏洞。该小组绘制潜在被攻击者的网络拓扑，可用于后续的攻击活动。Bluenoroff组织，有1700名左右成员，其任务是长期专注于评估并利用被攻击者网络中的漏洞，从而进行网络犯罪。

攻击组织虽然从事虚拟网络金融犯罪活动，但最终他们需要将窃取来的虚拟货币兑换为真实的货币。研究人员认为，攻击者通过合法的海外商业活动掩盖资金流动。

据称，攻击者将总部位于马来西亚的科技公司作为货币转移的阵地。该报告还声称，该公司还在拉丁美洲，东欧，非洲和亚洲开展海外业务，而且通过注册子公司，以新公司的名义进一步掩盖资金的流动。

End

本文为CNTIC编译，不代表本公众号观点，转载请保留出处与链接。

联系信息进入公众号后点击“论坛信息”可见。

原文始发于微信公众号（国家网络威胁情报共享开放平台）：Lazarus及其相关组织的财务足迹