باج افزار نوظهور H0lyGh0st مرتبط با کره شمالی

محققان مایکروسافت یک در حال ظهور را مرتبط کرده اند باجافزار تهدیدی که قبلاً تعدادی از کسب و کارهای کوچک تا متوسط ​​را متوجه بازیگران دولتی کره شمالی با انگیزه مالی کرده است که از سال گذشته فعال بوده اند.

گروهی که توسط محققان مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) با نام DEV-0530 ردیابی می‌شود، اما خود را H0lyGh0st می‌نامند، از ژوئن 2021 در حال توسعه و استفاده از باج‌افزار در حملات بوده است.

محققان MTIC و واحد امنیت دیجیتال مایکروسافت (MDSU) گفتند که این گروه با موفقیت کسب‌وکارهای کوچک تا متوسط ​​- از جمله سازمان‌های تولیدی، بانک‌ها، مدارس، و شرکت‌های برنامه‌ریزی رویدادها و جلسات را در چندین کشور به خطر انداخته است. که در یک پست وبلاگ پنجشنبه منتشر شد.

روش استاندارد H0lyGh0st استفاده از همنام است باجافزار برای رمزگذاری همه فایل‌ها در دستگاه مورد نظر با استفاده از پسوند فایل .h0lyenc، سپس نمونه‌ای از فایل‌ها را به عنوان مدرک برای قربانی ارسال کنید. این گروه با قربانیان در تعامل است .پیاز به گفته محققان سایتی که آن را نگهداری می کند و در آن یک فرم تماس برای تماس قربانیان ارائه می دهد.

[رویداد رایگان بر اساس تقاضا: به Zane Bond Keeper Security در میزگرد Threatpost بپیوندید و بیاموزید که چگونه به طور ایمن به ماشین های خود از هر کجا دسترسی داشته باشید و اسناد حساس را از دفتر خانه خود به اشتراک بگذارید. اینجا تماشا کنید.]

این گروه معمولاً در ازای بازگرداندن دسترسی به فایل‌ها، پرداخت به بیت‌کوین را طلب می‌کند. به گفته محققان، H0lyGh0st در وب سایت خود ادعا می کند که در صورت پرداخت، داده های قربانیان را نمی فروشد یا منتشر نمی کند. با این حال، استفاده می کند اخاذی مضاعف برای تحت فشار قرار دادن اهداف برای پرداخت، تهدید به انتشار اطلاعات دزدیده شده در رسانه های اجتماعی یا ارسال آن برای مشتریان قربانیان در صورت عدم پاسخگویی به درخواست های باج.

معرفی H0lyGh0st

به گفته محققان، کمپین‌های باج‌افزار H0lyGh0st انگیزه‌های مالی دارند و محققان متنی را مشاهده می‌کنند که به یک یادداشت باج‌گیری مرتبط است که در آن مهاجمان ادعا می‌کنند که قصد دارند «شکاف بین غنی و فقیر را ببندند».

آنها می‌گویند: «آنها همچنین با ادعای افزایش آگاهی امنیتی قربانی از طریق آگاه کردن قربانیان از وضعیت امنیتی خود، تلاش می‌کنند تا اقدامات خود را مشروعیت بخشند.

به گفته MSTIC، DEV-0530 همچنین با یک گروه دیگر مستقر در کره شمالی که با نام PLUTONIUM ردیابی می شود، همچنین به عنوان DarkSeoul یا Andariel شناخته می شود، با محققان ارتباطات بین دو گروه را مشاهده می کنند. آنها گفتند که H0lyGh0st همچنین با استفاده از ابزارهایی که منحصراً توسط PLUTONIUM ایجاد شده است، دیده شده است.

داستان دو خانواده

به گفته محققان، H2021lyGh2022st از زمان شروع استفاده از باج‌افزار در ژوئن 0 و تا می 0، از دو خانواده بدافزار توسعه‌یافته سفارشی SiennaPurple و SiennaBlue استفاده کرده است. MSTIC چهار نوع مرتبط با این خانواده ها را شناسایی کرد: BTLC_C.exe، HolyRS.exe، HolyLock.exe و BLTC.exe.

به گفته محققان، BTLC_C.exe در C++ نوشته شده است و به عنوان SiennaPurple طبقه بندی می شود، در حالی که بقیه به زبان برنامه نویسی متن باز Go نوشته شده اند. آنها گفتند که همه انواع به .exe برای هدف قرار دادن سیستم های ویندوز کامپایل شده اند.

BLTC_C.exe یک باج افزار قابل حمل است که توسط این گروه ساخته شده است که برای اولین بار در ژوئن 2021 مشاهده شد. با این حال، ممکن است نسخه اولیه تلاش های توسعه این گروه باشد، زیرا در مقایسه با همه انواع بدافزار در SiennaBlue ویژگی های زیادی ندارد. به گفته محققان خانواده.

بعداً در تکامل گروه، بین اکتبر 2021 و مه 2022، MSTIC مجموعه‌ای از باج‌افزارهای جدید DEV-0530 را مشاهده کرد که در Go نوشته شده بودند و آنها را به عنوان گونه‌های SiennaBlue طبقه‌بندی کردند.

محققان مشاهده کردند، اگرچه توابع Go جدید در طول زمان به انواع مختلف اضافه شده است، اما همه باج افزارهای خانواده SiennaBlue دارای عملکردهای اصلی Go هستند. به گفته محققان، این ویژگی ها شامل گزینه های مختلف رمزگذاری، مبهم سازی رشته، مدیریت کلید عمومی و پشتیبانی از اینترنت و اینترانت است.

جدیدترین نوع

به گفته آنها، آخرین نوع باج افزاری که توسط این گروه استفاده می شود BTLC.exe است که محققان از آوریل سال جاری میلادی آن را در طبیعت مشاهده کرده اند.

به گفته محققان، اگر ServerBaseURL از طریق دستگاه قابل دسترسی نباشد، BTLC.exe را می توان برای اتصال به اشتراک شبکه با استفاده از نام کاربری پیش فرض، رمز عبور و URL اینترانت که در بدافزار کدگذاری شده است، پیکربندی کرد.

این بدافزار همچنین دارای یک مکانیسم پایداری است که در آن یک کار برنامه ریزی شده به نام ایجاد یا حذف می کند وظیفه قفل که می تواند باج افزار را راه اندازی کند. به گفته آنها، هنگامی که بدافزار با موفقیت به عنوان یک سرپرست راه اندازی شد، سعی می کند به سرور پیش فرض سرور BaseURL که در بدافزار کدگذاری شده است متصل شود، سعی می کند یک کلید عمومی را در سرور C2 آپلود کند و همه فایل ها را در درایو قربانی رمزگذاری می کند.

رویداد رایگان بر اساس تقاضا: به Zane Bond Keeper Security در میزگرد Threatpost بپیوندید و بیاموزید که چگونه به طور ایمن به ماشین های خود از هر کجا دسترسی داشته باشید و اسناد حساس را از دفتر خانه خود به اشتراک بگذارید. اینجا تماشا کنید.