微软研究人员通过调研已经将一些损害中小型企业利益的新兴勒索软件威胁与自去年以来一直活跃的具有财务动机的朝鲜国家赞助的行为者联系起来。
根据调查显示,自2021年6月以来,微软威胁情报中心(MSTIC)的研究人员追踪事件名为DEV-0530,发现自称H0lyGh0st的团队一直在攻击中使用勒索软件。
MTIC和微软数字安全部门(MDSU)的研究人员在周四发表的一篇博客文章中表示,早在9月份,H0lyGh0st集团就成功破坏了多个国家的中小型企业的网络设备,其中包括制造组织、银行、学校以及活动和会议规划公司。
H0lyGh0st的标准作案手法是通过同名勒索软件使用文件扩展名.h0lyenc加密目标设备上的所有文件,然后向受害者发送文件样本作为证据。研究人员表示,该组织在其维护的.onion网站上与受害者互动,并在该网站上为受害者提供联系表格。
该集团通常要求用比特币付款,以换取恢复对文件的访问。研究人员表示,H0lyGh0st在其网站上声称,如果受害者向他们付费,它不会出售或发布受害者数据。然而,它使用双重敲诈勒索来迫使目标付款,威胁要在社交媒体上发布被盗数据,或者如果他们不符合赎金要求,就将其发送给受害者的客户。
研究人员表示,H0lyGh0st的勒索软件活动是出于经济动机而发生,研究人员观察到他们所拦截到的赎金纸条文本。攻击者在文本上声称他们的目标是为了“缩小贫富差距”。
他们说:“他们还试图通过声称通过让受害者更多地了解他们的安全态势以此来提高受害者的安全意识,因而促使受害者承认他们的行动合法化。”
据MSTIC称,DEV-0530还与另一个总部位于朝鲜的团体有联系,该团体被称为DarkSeoul或Andariel。研究人员观察了这两个团体之间的通信,他们说,H0lyGh0st也使用PLUTONIUM独家创建的工具。
研究人员表示,自2021年6月开始使用勒索软件以来直到2022年5月,H0lyGh0st共雇佣了两个定制开发的恶意软件家族——SiennaPurple和SiennaBlue。MSTIC确定了与这些家族相关的四种变体:BTLC_C.exe、HolyRS.exe、HolyLock.exe和BLTC.exe。
研究人员表示,BTLC_C.exe是用C++编写的,被归类为SiennaPurple,其余的则用开源Go编程语言编写。他们说,所有变体都编译成.exe,以针对Windows系统。
BLTC_C.exe是由该集团开发的便携式勒索软件,于2021年6月首次推出。然而研究人员表示,这可能是该集团开发工作的早期版本,因为与SiennaBlue家族的所有恶意软件变体相比,它没有太多功能。
研究人员表示,在该小组的后期,即2021年10月至2022年5月期间,MSTIC观察到一组用Go编写的新DEV-0530勒索软件变体,并将其归类为SiennaBlue变体。
研究人员观察到,尽管随着时间的推移,各种变体中都添加了新的威胁攻击功能,但SiennaBlue家族中的所有勒索软件都具有相同的核心围棋功能。研究人员表示,这些功能包括各种加密选项、字符串混淆、公钥管理以及对互联网和内联网的支持。
他们说,该组织使用的最新勒索软件变体是BTLC.exe,研究人员自今年4月以来一直在网络上看到。
研究人员表示,如果无法从设备访问ServerBaseURL,则BTLC.exe可以配置为使用恶意软件中硬编码的默认用户名、密码和内联网URL连接到网络共享。
恶意软件还包括一个持久机制,通过它创建或删除名为lockertask的预定任务,该任务可以启动勒索软件。他们说,一旦恶意软件作为管理员被成功启动,它就会尝试连接到恶意软件中硬编码的默认ServerBaseURL,将公钥上传到C2服务器,并对受害者驱动器中的所有文件进行加密。
参考及来源:https://threatpost.com/h0lygh0st-ransomware-north-korea/180232/