与朝鲜有关的新兴 H0lyGh0st 勒索软件

微软研究人员将一个新兴的 勒索 这种威胁已经使一些中小型企业受到了自去年以来一直活跃的朝鲜国家支持的经济动机的影响。

自 0530 年 0 月以来，一个被微软威胁情报中心 (MSTIC) 的研究人员追踪为 DEV-0 但自称为 H2021lyGhXNUMXst 的组织一直在开发和使用勒索软件进行攻击。

MTIC 和微软数字安全部门 (MDSU) 的研究人员表示，从 XNUMX 月开始，该组织已成功入侵多个国家的中小型企业，包括制造组织、银行、学校以及活动和会议策划公司。在 博客文章 星期四出版。

H0lyGh0st 的标准作案手法是使用同名 勒索 使用文件扩展名 .h0lyenc 加密目标设备上的所有文件，然后向受害者发送文件样本作为证据。 该小组与受害者互动 .onion 研究人员说，它维护的网站，并在该网站上为受害者提供了联系表格。

[免费点播活动: 加入 Keeper Security 的 Zane Bond 参加 Threatpost 圆桌会议，了解如何从任何地方安全地访问您的机器并从您的家庭办公室共享敏感文档。 在这里观看.]

该组织通常要求以比特币付款，以换取恢复对文件的访问权限。 研究人员表示，在其网站上，H0lyGh0st 声称，如果受害者付费，它不会出售或发布受害者数据。 然而，它使用 双重敲诈 迫使目标付款，威胁要在社交媒体上发布被盗数据，或者如果受害者不满足赎金要求，就将其发送给受害者的客户。

介绍 H0lyGh0st

研究人员表示，H0lyGh0st 的勒索软件活动是出于经济动机，研究人员观察到与他们截获的赎金记录相关的文本，攻击者声称他们的目标是“缩小贫富差距”。

“他们还试图通过让受害者更多地了解他们的安全状况来提高受害者的安全意识，从而使他们的行为合法化，”他们说。

据 MSTIC 称，DEV-0530 还与另一个名为 PLUTONIUM 的朝鲜组织（也称为 DarkSeoul 或 Andariel）有联系，研究人员观察了这两个组织之间的通信。 他们说，也有人看到 H0lyGh0st 使用了 PLUTONIUM 专门创建的工具。

两个家庭的故事

研究人员表示，自 2021 年 2022 月开始使用勒索软件到 0 年 0 月，HXNUMXlyGhXNUMXst 已经使用了两个定制开发的恶意软件系列——SiennaPurple 和 SiennaBlue。 MSTIC 确定了与这些家族相关的四个变体：BTLC_C.exe、HolyRS.exe、HolyLock.exe 和 BLTC.exe。

研究人员说，BTLC_C.exe 是用 C++ 编写的，被归类为 SiennaPurple，而其余的则是用开源的 Go 编程语言编写的。 他们说，所有变体都被编译成 .exe 以针对 Windows 系统。

BLTC_C.exe 是该组织开发的便携式勒索软件，于 2021 年 XNUMX 月首次出现。但是，它可能是该组织开发工作的早期版本，因为与 SiennaBlue 中的所有恶意软件变体相比，它没有太多功能家庭，研究人员说。

他们说，在该组织发展的后期，即 2021 年 2022 月至 0530 年 XNUMX 月期间，MSTIC 观察到了一组用 Go 编写的新 DEV-XNUMX 勒索软件变体，他们将其归类为 SiennaBlue 变体。

研究人员观察到，尽管随着时间的推移，新的 Go 函数已添加到各种变体中，但 SiennaBlue 系列中的所有勒索软件都共享相同的核心 Go 函数。 研究人员表示，这些功能包括各种加密选项、字符串混淆、公钥管理以及对 Internet 和 Intranet 的支持。

最近的变体

他们说，该组织使用的最新勒索软件变种是 BTLC.exe，研究人员自今年 XNUMX 月以来已经在野外看到了它。

研究人员表示，如果无法从设备访问 ServerBaseURL，可以将 BTLC.exe 配置为使用恶意软件中硬编码的默认用户名、密码和 Intranet URL 连接到网络共享。

该恶意软件还包括一个持久性机制，在该机制中它创建或删除一个名为 储物柜任务 可以启动勒索软件。 他们说，一旦恶意软件以管理员身份成功启动，它就会尝试连接到恶意软件中硬编码的默认 ServerBaseURL，尝试将公钥上传到 C2 服务器，并加密受害者驱动器中的所有文件。

免费点播活动：加入 Keeper Security 的 Zane Bond 参加 Threatpost 圆桌会议，了解如何从任何地方安全地访问您的机器并从您的家庭办公室共享敏感文档。 在这里观看.