安全企业卡巴斯基(Kaspersky)本周披露了被用来执行目标式攻击的VHD勒索软件,分析后发现该勒索软件应是出自朝鲜黑客集团Lazarus之手,而且与勒索软件攻击专业分工的生态不同,Lazarus从入侵目标系统到所部署的VHD勒索软件,全都是自己包办。
卡巴斯基的研究人员表示,勒索软件攻击生态体系具备各自独立的高度专业分工,例如可能有人专门开发勒索软件,有人专门出售僵尸网络,而黑客在摸清攻击目标的金融与IT程序后,再选择不同的合作伙伴展开攻击,使得主使者通常模糊难辨。
然而,在今年3月及5月发生的两次VHD勒索软件攻击,却与既有的生态体系截然不同,3月的攻击引起了卡巴斯基的关注,一来是因VHD非常冷门,样本很少,也没在暗网中看过它被兜售,二来是黑客所使用的传播手法,令人联想到高端持续性威胁(APT)攻击。
研究人员说明,他们在VHD中所发现的传播工具,含有一个专替受害者企业创建的管理凭证及IP地址列表,以针对所发现的任何机器执行暴力破解攻击,只要成功创建连接,就会安装网络共享,VHD便通过WMI调用被复制与执行,而这却是APT攻击常见的手法。
5月的VHD攻击进一步暴露了黑客的身份。当时黑客借由开采VPN网关的安全漏洞渗透到目标网络,取得了管理员权限,并在受害系统上部署了后门,进而掌控Active Directory服务器,再于该网络的所有机器部署VHD勒索软件,整个感染过程在10小时内完成。
然而,卡巴斯基发现,黑客所使用的后门为MATA跨平台框架的一个实例,而且不管是卡巴斯基或其它安全企业都认为,Lazarus集团是MATA框架唯一所有人,再加上VHD并非是个商业产品,因而断定VHD也是Lazarus所有。
研究人员表示,Lazarus向来处于APT与金融犯罪的交叉口,决定单打独斗的原因,也许是该集团发现自己很难与网络犯罪的黑社会交互,或者只是单纯的不想与别人拆分获利。