HackerNews 编译,转载请注明出处:
朝鲜政府支持的黑客组织ScarCruft(又称APT37)在近期攻击中首次部署了勒索软件。该组织长期以高价值个人和政府机构为网络间谍目标,但韩国安全公司S2W周四报告称,其在此次行动中使用了“新发现的”勒索软件。
研究人员将该勒索软件命名为VCD(取自其对加密文件添加的扩展名)。其会生成英文和韩文两个版本的勒索通知。S2W指出,ScarCruft使用勒索软件的行为“暗示其可能转向经济利益驱动的行动,或拓展了包含破坏性及勒索策略的运营目标”。
ScarCruft过往主要攻击韩国、日本、越南、俄罗斯和尼泊尔的目标。在7月针对韩国用户的攻击中,黑客通过鱼叉邮件投递恶意压缩包入侵系统。诱饵文件显示关于街道地址变更导致的邮政编码更新信息(报告未明确邮件接收者身份)。
研究人员在此次攻击中识别出超过9类恶意软件,包括信息窃取工具LightPeek、FadeStealer,以及利用合法实时通讯平台PubNub进行命令控制(C2)的后门程序NubSpy。ScarCruft通过PubNub将恶意流量伪装成正常网络通信以隐藏行踪。
该行动被归因于ScarCruft下属小组ChinopuNK(该小组曾传播可窃取系统信息并支持Windows/Android双平台攻击的Chinotto恶意软件)。本次攻击中黑客使用了名为ChillyChino的新变种。
研究人员基于两点证据高度确认攻击由ScarCruft发起:一是使用PubNub进行C2通信;二是部署了FadeStealer(该组织自2023年起使用的恶意软件,可录制音频、记录击键并收集外接设备数据)。
据信隶属于朝鲜国家安全部的ScarCruft是该国最活跃的黑客单位之一,以社会工程学手段诱骗受害者打开恶意文件著称。今年5月,该组织曾伪装成朝鲜问题专家及智库发送钓鱼邮件。去年还针对媒体和知名学者以“收集战略情报”,据称这些情报能“影响朝鲜决策流程”。
尽管勒索软件的部署对ScarCruft整体战略意图尚不明确,但朝鲜政府关联黑客常参与经济利益驱动的攻击,为受制裁政权筹集资金。联合国去年报告显示,其正调查近60起由朝鲜黑客(包括Kimsuky、Lazarus、Andariel和BlueNoroff等组织)实施的网络攻击,这些攻击在六年内窃取约30亿美元资金。联合国专家强调:“这些网络威胁行为体的核心任务是为朝鲜获取有价值信息并非法创收。”
消息来源:therecord;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
