调查发现，VHD勒索软件与朝鲜Lazarus集团有关

研究人员调查发现，Lazarus集团扩大攻击范围，利用勒索软件对亚太地区（APAC）地区的金融机构和其他目标进行敲诈。在金融交易中出现的新型VHD的勒索软件菌株，和之前发现的恶意软件有很多相似之处。所以，研究人员将该病毒菌株与朝鲜威胁行为者（也称为Unit 180或APT35）联系起来。

近几年，网络安全公司Trellox的研究人员一直跟踪研究朝鲜网络军队对金融机构的攻击，这些攻击来自Lazarus集团。该集团通过洗钱计划窃取加密货币，并以此为朝鲜政府筹集相关资金。

Trellix在本周的一篇博文中透露，Lazarus似乎已经进行了至少一年的勒索软件攻击。研究人员发现，此次攻击和该组织以前所使用过的勒索软件的代码有很大的联系，2020年3月出现的VHD很可能就是APT38的作品。

金融攻击引起怀疑

根据Trellix研究员Christian Beek的帖子，由于2016年2月威胁行为者试图通过SWIFT系统向其他银行的收款人转移近10亿美元，因此将Lazarus与VHD联系起来。Beek在帖子中写道：由几家美国机构主导进行的调查发现了一名被称为“隐藏眼镜蛇”的朝鲜演员。该组织从那时起，就一直很活跃地进行网络攻击，损害了很多受害者地利益。

自2014年以来一直很活跃的Hidden Cobra被认为是Lazarus Group的作品。2017年，联邦调查局警告说，该集团正在以美国企业为目标，进行与恶意软件和僵尸网络相关的攻击。

随着时间的推移，研究人员观察到了朝鲜用来赚钱的几种方法，尽管不像其他团体那样经常观察到，但是Lazarus集团其中也有人试图进入勒索软件世界以此筹集资金。

Trellix在过去几年里关注了与朝鲜有联系的行为者对金融机构的攻击，如全球银行、区块链提供商和韩国用户。研究人员指出，攻击者使用的策略包括鱼叉式网络钓鱼电子邮件以及使用虚假的移动应用程序和公司。

Beek写道：“由于这些袭击主要针对亚太地区，例如日本和马来西亚，我们预计这些袭击可能是为了验证勒索软件是否是获得收入的宝贵方式”。

代码链接

勒索软件已成为朝鲜网络军队工具包的一部分，研究员们通过VHD代码进行窥视，并以此希望找到他们认为可以指向与以前勒索软件的相似之处。目前，研究人员在VHD代码中确定了已知被朝鲜威胁行为者使用的四个勒索软件家族的代码——BGEAF、PXJ、ZZZ和CHiCHi。虽然Tflower和ChiChi家族只与VHD共享通用功能代码，但ZZZZ勒索软件几乎是Beaf勒索软件家族的完全克隆，明显该家族已与朝鲜有关。

Beek补充认为：另一种观察得到的结论是，勒索软件“BEAF”的四个字母与APT38被称为Beefeater的工具握手的前四个字节完全相同。研究人员表示，在VHD中使用MATA框架——该框架已被用于传播Tflower勒索软件家族——也将VHD与Lazarus联系起来，因为MATA之前曾与朝鲜有关联。

Beek怀疑，这些勒索软件家族是有组织性和攻击性的，据研究人员对勒索软件攻击的观察，以及结合各种情报，Trellix将它们归于朝鲜黑客，并认为这个推断具有很高的可信度。