卡巴斯基分析今年5月發生的VHD勒索軟體攻擊行動,當時駭客曾在受害系統上部署後門,使用的後門為MATA跨平臺框架的一個實例,許多資安業者都認為,Lazarus集團是MATA框架唯一所有人,再加上VHD並非是個商業產品,因而斷定VHD是Lazarus所有。(上圖為卡巴斯基提供的MATA框架示意,圖片來源:https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/。)

資安業者卡巴斯基(Kaspersky)本周揭露了被用來執行目標式攻擊的VHD勒索軟體,分析後發現該勒索軟體應是出自北韓駭客集團Lazarus之手,而且與勒索軟體攻擊專業分工的生態不同,Lazarus從入侵目標系統到所部署的VHD勒索軟體,全都是自己包辦。

卡巴斯基的研究人員表示,勒索軟體攻擊生態體系具備各自獨立的高度專業分工,例如可能有人專門開發勒索軟體,有人專門出售殭屍網路,而駭客在摸清攻擊目標的金融與IT程序後,再選擇不同的合作夥伴展開攻擊,使得主使者通常模糊難辨。

然而,在今年3月及5月發生的兩次VHD勒索軟體攻擊,卻與既有的生態體系截然不同,3月的攻擊引起了卡巴斯基的關注,一來是因VHD非常冷門,樣本很少,也沒在暗網中看過它被兜售,二來是駭客所使用的散布手法,令人聯想到進階持續性威脅(APT)攻擊。

研究人員說明,他們在VHD中所發現的散布工具,含有一個專替受害者企業建立的管理憑證及IP位址列表,以針對所發現的任何機器執行暴力破解攻擊,只要成功建立連結,就會安裝網路共享,VHD便透過WMI呼叫被複製與執行,而這卻是APT攻擊常見的手法。

5月的VHD攻擊進一步曝露了駭客的身分。當時駭客藉由開採VPN閘道的安全漏洞滲透到目標網路,取得了管理員權限,並在受害系統上部署了後門,進而掌控Active Directory伺服器,再於該網路的所有機器部署VHD勒索軟體,整個感染過程在10小時內完成。

然而,卡巴斯基發現,駭客所使用的後門為MATA跨平臺框架的一個實例,而且不管是卡巴斯基或其它資安業者都認為,Lazarus集團是MATA框架唯一所有人,再加上VHD並非是個商業產品,因而斷定VHD也是Lazarus所有。

研究人員表示,Lazarus向來處於APT與金融犯罪的交叉口,決定單打獨鬥的原因,也許是該集團發現自己很難與網路犯罪的黑社會互動,或者只是單純的不想與別人拆分獲利。


Advertisement

更多 iThome相關內容