圖片來源: 

Awake Security

自2020年底開始出沒的勒索軟體Hades,到底發動相關攻擊的駭客身分為何?自3月下旬,已有CrowdStrike和Accenture等2家資安公司提出不同看法,前者認為,Hades與遭到美國起訴的駭客組織Evil Corp有關,後者則表明駭客的身分仍無法確定,有待進一步調查。而3月30日有第3家資安業者提出新的事證,認為Hades與濫用ProxyLogon漏洞的中國駭客組織Hafnium有關,甚至不排除還有其他的駭客同時利用這套勒索軟體。

資安業者Awake Security於3月30日指出,他們的事件回應團隊曾協助遭到Hades攻擊的受害者調查,看到其中一起事故出現Hafnium所使用的網域,再加上攻擊過程裡找到的特徵,符合該組織攻擊的入侵指標(IoC),因此Awake認為Hafnium可能參與了此起攻擊行動。

Awake進一步說明,上述網域與被入侵的Exchange郵件伺服器有關,而這臺伺服器後來被駭客當作C&C中繼站使用,導致接下來發生加密攻擊事故。該公司也引用其他資安團隊的研究報告指出,這個網域最早被發現的時間點,就是在2020年12月的Hades勒索軟體攻擊事故,且早於2021年1月微軟獲報Exchange重大漏洞「ProxyLogon」。不過,Awake提出這些跡象的關連性為何?該公司沒有進一步說明,但很有可能指的是濫用Hades勒索軟體發動攻擊的駭客,在攻擊的過程中,同時運用這些當時仍是未知的Exchange漏洞。

不只Hafnium與Hades組織有關,Awake也在一些Hades受害企業中,發現其他攻擊行動的跡證。

值得留意的是,使用Hades的駭客也會藉由公布受害者資料的方式,來進行雙重勒索,但Awake指出,有別於許多駭客組織會架設專屬網站公布,Hades背後的駭客組織卻是以推特發文為主,帳號是@hadesleaks。經過他們的調查,該組織第一篇推文在2020年12月17日出現,同日就被資料外洩網站Hackforums引用。而Awake在推特和Hackforums的資料中發現,駭客使用雲端硬碟Mega來存放外洩資料,這點和Accenture的發現可說是相符。

 

 

報名台灣唯一超規格資安盛會


熱門新聞

Advertisement