朝鲜APT组织Lazarus开始投放勒索软件进行敛财

Lazarus APT组织，一个老生常谈的披着网军外衣的黑产组织，在黑鸟报道过关于他们【进行信用卡钓鱼攻击】，【针对交易所发起攻击】后，终究还是进化到黑产组织的最终形态：勒索软件攻击。

而他们投放的勒索软件名为：VHD勒索软件，文件被加密后后缀会变为.vhd

关于VHD勒索软件的介绍链接：https://id-ransomware.blogspot.com/2020/03/vhd-ransomware.html

要知道，Lazarus组织是MATA（Dacls）恶意软件框架的唯一所有者，而该恶意软件最终会将VHD勒索软件部署在受害者的主机上，基于此证明了朝鲜方面开始使用勒索软件团伙的手法进行敛财。

下图为卡巴斯基处理一起感染勒索软件的事件中发现的攻击过程图，一开始攻击者通过存在漏洞的VPN网关进行入侵，并获得了管理员权限，同时在受感染的系统上部署了MATA(Dacls)后门，从而能够接管Active Directory服务器。然后，他们将VHD勒索软件部署到网络中的所有计算机。勒索软件是通过一个用Python编写的下载器进行安装的，整个感染历时10小时。

卡巴斯基最新发布的报告表示掌握的数据倾向于表明VHD勒索软件不是可以购买的勒索软件产品，Lazarus组织是MATA框架的唯一所有者。因此，得出结论：VHD勒索软件也由Lazarus拥有和运营。

关于MATA框架的分析：https://securelist.com/mata-multi-platform-targeted-malware-framework/97746/

根据过去四年中发布的大量报告，朝鲜黑客通常分为两类：（1）从事情报目的的网络间谍活动，（2）从事金融犯罪活动以筹集资金（美国财政部认为，目的是用于支持该国的武器和导弹计划）。

毫无疑问，VHD勒索软件攻击是第二小组的工作，该小组的其他一些筹款活动包括入侵银行，从加密货币交易所窃取资金，入侵ATM从而获取现金，运行加密挖矿僵尸网络，甚至进行网络掠夺（Magecart）攻击以窃取支付卡数据并将其转售到信用卡论坛上。。

其他活动还包括Lazarus黑客入侵公司网络，窃取数据，然后要求受害者勒索赎金，以免其在线发布数据。

当然，需要区分的是，此前的WannaCry勒索软件攻击被认为是一起破坏性行动，而不是一起敛财行为，但目前来看，他们已经完全将勒索软件作为敛财的利器了。

参考链接：

https://securelist.com/lazarus-on-the-hunt-for-big-game/97757/

声明：本文来自黑鸟，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。