freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

狩猎发现勒索软件家族VHD,与朝鲜黑客组织Hermit Kingdom有关联
2022-05-09 20:07:08
所属地 北京

2020 年 3 月,一个名为 VHD的勒索软件家族浮出水面,业界分析该勒索软件家族与朝鲜黑客有关。它与 Hermit Kingdom 组织都使用 MATA 框架进行分发,并且有多处特征都能够将二者联系起来。

2016 年 2 月,攻击者入侵孟加拉国银行,试图通过 SWIFT 系统向其他银行转账近 10 亿美元。经过调查发现了名为 Hidden Cobra的朝鲜黑客组织,从那时开始该组织就一直保持活跃,进行了非常多次的攻击。在一次攻击中国台湾的银行的攻击行动中,使用勒索软件干扰安全团队的视线,偷偷将资金转移到其他银行账户中。

Hidden Cobra 被认为是朝鲜黑客组织中的一份子。朝鲜的黑客组织是各司其职的,统一向 Bureau (or Lab) 121汇报。其中,负责攻击外国金融系统(包括银行和加密货币交易所)的是 Unit 180,也被称为 APT 38。该组织的成员被认为广泛居住在朝鲜以外的其他国家内,例如俄罗斯、马来西亚、泰国、孟加拉国、印度尼西亚和印度等国。

狩猎发现

通过对 VHD 勒索软件的源码分析,确定部分可被重复使用的功能,以此为起点狩猎 2020 年 3 月以后的恶意软件。

过滤掉一些可确认的误报,发现了一系列存在代码相似的样本:

BEAF 家族

PXJ 家族

ZZZZ 家族

CHiCHi 家族

除了以上四个勒索软件家族外,还发现使用 MATA 框架分发的 Tflower 勒索软件。此外,BEAF勒索软件的四个字母与 APT 38 所使用的 Beefeater 在握手时的前四个字节完全相同。

代码相似度

利用 BinDiff 等工具,通过代码相似的角度进行分析:

image.png-13.8kB相似关联

ZZZZ、PXJ 和 Beaf 都是与 VHD 源码存在大量代码相似的三个家族,其中 ZZZZ 几乎就是 Beaf 的翻版。Tflower 和 ChiChi 确实也存在部分代码共用,但是这些都是通用功能,和传统意义上的代码共用不同,没有在图中显示出来。

代码可视化

分析人员利用希尔伯特曲线映射将代码可视化,为六个家族生成的图像如下所示:

image.png-543.6kB可视化描述

不需要是安全专家也可以发现 ZZZZ 和 BEAF 几乎完全相同。而且,Tflower 和 ChiChi 与 VHD 大不相同。

image.png-255.5kB相似比较

通过代码相似分析的特征,也可以在希尔伯特曲线上得到佐证。

例如电子邮件地址 Semenov.akkim@protonmail.com在 CHiCHi和 ZZZZ样本均有出现。

随钱而动

受害者似乎多为亚太地区的特定目标,没有关于受害者更详细的信息,包括泄密页面或者谈判聊天记录等。

image.png-67.2kB资金流向

研究人员跟踪了攻击者的比特币钱包地址,监控并追踪其交易流向,但并没有发现不同恶意软件家族间的账户存在关联关系。

当然,目前发现的赎金金额都比较小。例如 2020 年年中支付的大约 2 万美元的比特币,在年底被转移出去。其中一笔交易是通过加密货币交易所完成的,攻击者可能将其兑现或者换成了另一种可追溯性较差的加密货币。

总结

最近几年,除了全球的银行之外,韩国的加密货币服务提供商与用户也受到了鱼叉邮件、虚假应用程序等攻击手段的渗透和攻击。这些攻击主要针对亚太地区,例如日本和马来西亚,攻击可能通过勒索软件的方式进行获利。

参考来源

Trellix

# 朝鲜黑客 # 勒索软件 # Hermit Kingdom # VHD
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录