مایکروسافت تهدیدی را که در ژوئن 2021 پدیدار شد و مشاغل کوچک تا متوسط را هدف قرار می دهد به بازیگران تحت حمایت دولتی که با نام DEV-0530 ردیابی می شوند مرتبط کرده است.
محققان مایکروسافت یک در حال ظهور را مرتبط کرده اند باجافزار تهدیدی که قبلاً تعدادی از کسب و کارهای کوچک تا متوسط را متوجه بازیگران دولتی کره شمالی با انگیزه مالی کرده است که از سال گذشته فعال بوده اند.
گروهی که توسط محققان مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) با نام DEV-0530 ردیابی میشود، اما خود را H0lyGh0st مینامند، از ژوئن 2021 در حال توسعه و استفاده از باجافزار در حملات بوده است.
محققان MTIC و واحد امنیت دیجیتال مایکروسافت (MDSU) گفتند که این گروه با موفقیت کسبوکارهای کوچک تا متوسط - از جمله سازمانهای تولیدی، بانکها، مدارس، و شرکتهای برنامهریزی رویدادها و جلسات را در چندین کشور به خطر انداخته است. که در یک پست وبلاگ پنجشنبه منتشر شد.
روش استاندارد H0lyGh0st استفاده از همنام است باجافزار برای رمزگذاری همه فایلها در دستگاه مورد نظر با استفاده از پسوند فایل .h0lyenc، سپس نمونهای از فایلها را به عنوان مدرک برای قربانی ارسال کنید. این گروه با قربانیان در تعامل است .پیاز به گفته محققان سایتی که آن را نگهداری می کند و در آن یک فرم تماس برای تماس قربانیان ارائه می دهد.
[رویداد رایگان بر اساس تقاضا: به Zane Bond Keeper Security در میزگرد Threatpost بپیوندید و بیاموزید که چگونه به طور ایمن به ماشین های خود از هر کجا دسترسی داشته باشید و اسناد حساس را از دفتر خانه خود به اشتراک بگذارید. اینجا تماشا کنید.]
این گروه معمولاً در ازای بازگرداندن دسترسی به فایلها، پرداخت به بیتکوین را طلب میکند. به گفته محققان، H0lyGh0st در وب سایت خود ادعا می کند که در صورت پرداخت، داده های قربانیان را نمی فروشد یا منتشر نمی کند. با این حال، استفاده می کند اخاذی مضاعف برای تحت فشار قرار دادن اهداف برای پرداخت، تهدید به انتشار اطلاعات دزدیده شده در رسانه های اجتماعی یا ارسال آن برای مشتریان قربانیان در صورت عدم پاسخگویی به درخواست های باج.
معرفی H0lyGh0st
به گفته محققان، کمپینهای باجافزار H0lyGh0st انگیزههای مالی دارند و محققان متنی را مشاهده میکنند که به یک یادداشت باجگیری مرتبط است که در آن مهاجمان ادعا میکنند که قصد دارند «شکاف بین غنی و فقیر را ببندند».
آنها میگویند: «آنها همچنین با ادعای افزایش آگاهی امنیتی قربانی از طریق آگاه کردن قربانیان از وضعیت امنیتی خود، تلاش میکنند تا اقدامات خود را مشروعیت بخشند.
به گفته MSTIC، DEV-0530 همچنین با یک گروه دیگر مستقر در کره شمالی که با نام PLUTONIUM ردیابی می شود، همچنین به عنوان DarkSeoul یا Andariel شناخته می شود، با محققان ارتباطات بین دو گروه را مشاهده می کنند. آنها گفتند که H0lyGh0st همچنین با استفاده از ابزارهایی که منحصراً توسط PLUTONIUM ایجاد شده است، دیده شده است.
داستان دو خانواده
به گفته محققان، H2021lyGh2022st از زمان شروع استفاده از باجافزار در ژوئن 0 و تا می 0، از دو خانواده بدافزار توسعهیافته سفارشی SiennaPurple و SiennaBlue استفاده کرده است. MSTIC چهار نوع مرتبط با این خانواده ها را شناسایی کرد: BTLC_C.exe، HolyRS.exe، HolyLock.exe و BLTC.exe.
به گفته محققان، BTLC_C.exe در C++ نوشته شده است و به عنوان SiennaPurple طبقه بندی می شود، در حالی که بقیه به زبان برنامه نویسی متن باز Go نوشته شده اند. آنها گفتند که همه انواع به .exe برای هدف قرار دادن سیستم های ویندوز کامپایل شده اند.
BLTC_C.exe یک باج افزار قابل حمل است که توسط این گروه ساخته شده است که برای اولین بار در ژوئن 2021 مشاهده شد. با این حال، ممکن است نسخه اولیه تلاش های توسعه این گروه باشد، زیرا در مقایسه با همه انواع بدافزار در SiennaBlue ویژگی های زیادی ندارد. به گفته محققان خانواده.
بعداً در تکامل گروه، بین اکتبر 2021 و مه 2022، MSTIC مجموعهای از باجافزارهای جدید DEV-0530 را مشاهده کرد که در Go نوشته شده بودند و آنها را به عنوان گونههای SiennaBlue طبقهبندی کردند.
محققان مشاهده کردند، اگرچه توابع Go جدید در طول زمان به انواع مختلف اضافه شده است، اما همه باج افزارهای خانواده SiennaBlue دارای عملکردهای اصلی Go هستند. به گفته محققان، این ویژگی ها شامل گزینه های مختلف رمزگذاری، مبهم سازی رشته، مدیریت کلید عمومی و پشتیبانی از اینترنت و اینترانت است.
جدیدترین نوع
به گفته آنها، آخرین نوع باج افزاری که توسط این گروه استفاده می شود BTLC.exe است که محققان از آوریل سال جاری میلادی آن را در طبیعت مشاهده کرده اند.
به گفته محققان، اگر ServerBaseURL از طریق دستگاه قابل دسترسی نباشد، BTLC.exe را می توان برای اتصال به اشتراک شبکه با استفاده از نام کاربری پیش فرض، رمز عبور و URL اینترانت که در بدافزار کدگذاری شده است، پیکربندی کرد.
این بدافزار همچنین دارای یک مکانیسم پایداری است که در آن یک کار برنامه ریزی شده به نام ایجاد یا حذف می کند وظیفه قفل که می تواند باج افزار را راه اندازی کند. به گفته آنها، هنگامی که بدافزار با موفقیت به عنوان یک سرپرست راه اندازی شد، سعی می کند به سرور پیش فرض سرور BaseURL که در بدافزار کدگذاری شده است متصل شود، سعی می کند یک کلید عمومی را در سرور C2 آپلود کند و همه فایل ها را در درایو قربانی رمزگذاری می کند.
رویداد رایگان بر اساس تقاضا: به Zane Bond Keeper Security در میزگرد Threatpost بپیوندید و بیاموزید که چگونه به طور ایمن به ماشین های خود از هر کجا دسترسی داشته باشید و اسناد حساس را از دفتر خانه خود به اشتراک بگذارید. اینجا تماشا کنید.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://threatpost.com/h0lygh0st-ransomware-north-korea/180232/
- : دارد
- :است
- :نه
- 2021
- 2022
- 50
- 700
- a
- درباره ما
- دسترسی
- در دسترس
- مطابق
- اقدامات
- فعال
- بازیگران
- اضافه
- هدف
- معرفی
- قبلا
- همچنین
- an
- و
- دیگر
- هر جا
- آوریل
- هستند
- AS
- حمله
- کوشش
- تلاشها
- اطلاع
- بانک
- BE
- بوده
- آغاز شد
- میان
- بیت کوین
- بلاگ
- اوراق قرضه
- کسب و کار
- اما
- by
- ++C
- نام
- تماس ها
- مبارزات
- CAN
- مرکز
- ادعا
- مدعی
- ادعای
- طبقه بندی
- طبقه بندی کنید
- خوشه
- ارتباطات
- مقایسه
- وارد
- در معرض خطر
- پیکربندی
- اتصال
- اتصالات
- تماس
- هسته
- کشور
- ایجاد شده
- ایجاد
- مشتریان
- داده ها
- به طور پیش فرض
- خواسته
- توسعه
- در حال توسعه
- پروژه
- دستگاه
- دیجیتال
- اسناد و مدارک
- نمی کند
- آیا
- راندن
- در اوایل
- تلاش
- ظهور
- سنگ سنباده
- به کار گرفته شده
- رمزگذاری
- واقعه
- تکامل
- تبادل
- منحصرا
- گسترش
- خانواده
- خانواده
- امکانات
- پرونده
- فایل ها
- به لحاظ مالی
- نام خانوادگی
- برای
- فرم
- چهار
- از جانب
- توابع
- شکاف
- دریافت کنید
- Go
- گروه
- گروه ها
- آیا
- صفحه اصلی
- دفتر خانه
- چگونه
- چگونه
- اما
- HTTPS
- شناسایی
- if
- in
- شامل
- شامل
- افزایش
- infosec
- اطلاعات
- در ارتباط بودن
- اینترنت
- به
- IT
- ITS
- خود
- پیوستن
- ژوئن
- کلید
- دانستن
- شناخته شده
- کشور کره
- کره ای
- زبان
- نام
- پارسال
- آخرین
- راه اندازی
- راه اندازی
- یاد گرفتن
- اجازه دادن
- مرتبط
- ماشین آلات
- حفظ
- نرم افزارهای مخرب
- مدیریت
- تولید
- بسیاری
- حداکثر عرض
- ممکن است..
- مکانیزم
- رسانه ها
- دیدار
- نشست
- مایکروسافت
- حالت
- بیش
- انگیزه
- چندگانه
- شبکه
- جدید
- عضویت در خبرنامه
- شمال
- کره شمالی
- توجه داشته باشید
- عدد
- مشاهده
- اکتبر
- of
- دفتر
- on
- بر روی تقاضا
- یک بار
- منبع باز
- گزینه
- or
- سازمان های
- روی
- مروری
- کلمه عبور
- پرداخت
- پرداخت
- اصرار
- برنامه ریزی
- افلاطون
- هوش داده افلاطون
- PlatoData
- فقیر
- قابل حمل
- فشار
- برنامه نويسي
- اثبات
- فراهم می کند
- عمومی
- کلید عمومی
- منتشر کردن
- منتشر شده
- فدیه
- باجافزار
- اخیر
- محققان
- REST
- بازگرداندن
- غنی
- سعید
- همان
- برنامه ریزی
- دانشکده ها
- ایمن
- تیم امنیت لاتاری
- آگاهی از امنیت
- مشاهده گردید
- فروش
- ارسال
- حساس
- سپتامبر
- سرور
- اشتراک گذاری
- پس از
- سایت
- آگاهی
- رسانه های اجتماعی
- استاندارد
- راه افتادن
- به سرقت رفته
- رشته
- موفقیت
- پشتیبانی
- سیستم های
- داستان
- هدف
- اهداف
- کار
- متن
- که
- La
- شان
- سپس
- اینها
- آنها
- این
- در این سال
- تهدید
- تهدید هوش
- پنج شنبه
- گره خورده است
- زمان
- به
- ابزار
- لمس
- دو
- به طور معمول
- واحد
- تا
- URL
- استفاده کنید
- استفاده
- استفاده
- با استفاده از
- نوع دیگر
- مختلف
- نسخه
- قربانی
- قربانیان
- بود
- سایت اینترنتی
- که
- در حین
- وحشی
- پنجره
- با
- کتبی
- سال
- شما
- زفیرنت