卡巴斯基：VHD勒索軟體出自北韓駭客集團Lazarus之手

資安業者卡巴斯基（Kaspersky）本周揭露了被用來執行目標式攻擊的VHD勒索軟體，分析後發現該勒索軟體應是出自北韓駭客集團Lazarus之手，而且與勒索軟體攻擊專業分工的生態不同，Lazarus從入侵目標系統到所部署的VHD勒索軟體，全都是自己包辦。

卡巴斯基的研究人員表示，勒索軟體攻擊生態體系具備各自獨立的高度專業分工，例如可能有人專門開發勒索軟體，有人專門出售殭屍網路，而駭客在摸清攻擊目標的金融與IT程序後，再選擇不同的合作夥伴展開攻擊，使得主使者通常模糊難辨。

然而，在今年3月及5月發生的兩次VHD勒索軟體攻擊，卻與既有的生態體系截然不同，3月的攻擊引起了卡巴斯基的關注，一來是因VHD非常冷門，樣本很少，也沒在暗網中看過它被兜售，二來是駭客所使用的散布手法，令人聯想到進階持續性威脅（APT）攻擊。

研究人員說明，他們在VHD中所發現的散布工具，含有一個專替受害者企業建立的管理憑證及IP位址列表，以針對所發現的任何機器執行暴力破解攻擊，只要成功建立連結，就會安裝網路共享，VHD便透過WMI呼叫被複製與執行，而這卻是APT攻擊常見的手法。

5月的VHD攻擊進一步曝露了駭客的身分。當時駭客藉由開採VPN閘道的安全漏洞滲透到目標網路，取得了管理員權限，並在受害系統上部署了後門，進而掌控Active Directory伺服器，再於該網路的所有機器部署VHD勒索軟體，整個感染過程在10小時內完成。

然而，卡巴斯基發現，駭客所使用的後門為MATA跨平臺框架的一個實例，而且不管是卡巴斯基或其它資安業者都認為，Lazarus集團是MATA框架唯一所有人，再加上VHD並非是個商業產品，因而斷定VHD也是Lazarus所有。

研究人員表示，Lazarus向來處於APT與金融犯罪的交叉口，決定單打獨鬥的原因，也許是該集團發現自己很難與網路犯罪的黑社會互動，或者只是單純的不想與別人拆分獲利。