微軟研究人員通過調研已經將一些損害中小型企業利益的新興勒索軟件威脅與自去年以來一直活躍的具有財務動機的朝鮮國家贊助的行為者聯系起來。

根據調查顯示，自2021年6月以來，微軟威脅情報中心（MSTIC）的研究人員追蹤事件名為DEV-0530，發現自稱H0lyGh0st的團隊一直在攻擊中使用勒索軟件。

MTIC和微軟數字安全部門（MDSU）的研究人員在周四發表的一篇博客文章中表示，早在9月份，H0lyGh0st集團就成功破壞了多個國家的中小型企業的網絡設備，其中包括制造組織、銀行、學校以及活動和會議規劃公司。

H0lyGh0st的標準作案手法是通過同名勒索軟件使用文件擴展名.h0lyenc加密目標設備上的所有文件，然后向受害者發送文件樣本作為證據。研究人員表示，該組織在其維護的.onion網站上與受害者互動，并在該網站上為受害者提供聯系表格。

該集團通常要求用比特幣付款，以換取恢復對文件的訪問。研究人員表示，H0lyGh0st在其網站上聲稱，如果受害者向他們付費，它不會出售或發布受害者數據。然而，它使用雙重敲詐勒索來迫使目標付款，威脅要在社交媒體上發布被盜數據，或者如果他們不符合贖金要求，就將其發送給受害者的客戶。

H0lyGh0st簡介

研究人員表示，H0lyGh0st的勒索軟件活動是出于經濟動機而發生，研究人員觀察到他們所攔截到的贖金紙條文本。攻擊者在文本上聲稱他們的目標是為了“縮小貧富差距”。

他們說：“他們還試圖通過聲稱通過讓受害者更多地了解他們的安全態勢以此來提高受害者的安全意識，因而促使受害者承認他們的行動合法化。”

據MSTIC稱，DEV-0530還與另一個總部位于朝鮮的團體有聯系，該團體被稱為DarkSeoul或Andariel。研究人員觀察了這兩個團體之間的通信，他們說，H0lyGh0st也使用PLUTONIUM獨家創建的工具。

兩個家庭的故事

研究人員表示，自2021年6月開始使用勒索軟件以來直到2022年5月，H0lyGh0st共雇傭了兩個定制開發的惡意軟件家族——SiennaPurple和SiennaBlue。MSTIC確定了與這些家族相關的四種變體：BTLC_C.exe、HolyRS.exe、HolyLock.exe和BLTC.exe。

研究人員表示，BTLC_C.exe是用C++編寫的，被歸類為SiennaPurple，其余的則用開源Go編程語言編寫。他們說，所有變體都編譯成.exe，以針對Windows系統。

BLTC_C.exe是由該集團開發的便攜式勒索軟件，于2021年6月首次推出。然而研究人員表示，這可能是該集團開發工作的早期版本，因為與SiennaBlue家族的所有惡意軟件變體相比，它沒有太多功能。

研究人員表示，在該小組的后期，即2021年10月至2022年5月期間，MSTIC觀察到一組用Go編寫的新DEV-0530勒索軟件變體，并將其歸類為SiennaBlue變體。

研究人員觀察到，盡管隨著時間的推移，各種變體中都添加了新的威脅攻擊功能，但SiennaBlue家族中的所有勒索軟件都具有相同的核心圍棋功能。研究人員表示，這些功能包括各種加密選項、字符串混淆、公鑰管理以及對互聯網和內聯網的支持。

最近的變體

他們說，該組織使用的最新勒索軟件變體是BTLC.exe，研究人員自今年4月以來一直在網絡上看到。

研究人員表示，如果無法從設備訪問ServerBaseURL，則BTLC.exe可以配置為使用惡意軟件中硬編碼的默認用戶名、密碼和內聯網URL連接到網絡共享。

惡意軟件還包括一個持久機制，通過它創建或刪除名為lockertask的預定任務，該任務可以啟動勒索軟件。他們說，一旦惡意軟件作為管理員被成功啟動，它就會嘗試連接到惡意軟件中硬編碼的默認ServerBaseURL，將公鑰上傳到C2服務器，并對受害者驅動器中的所有文件進行加密。

本文翻譯自：https://threatpost.com/h0lygh0st-ransomware-north-korea/180232/如若轉載，請注明原文地址。