ارتباط گروه‌های جدید باج‌افزار با گروه APT38 کره شمالی

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir researchers associate north korean apt38 group with more ransomware strains 1
چندین گونه باج‌افزار با مرتبط با گروه هک APT38 که توسط حکومت کره‌شمالی پشتیبانی می‌شود، کشف شده‌اند. این گروه که زیرگروهی از گروه بدنام لازاروس (Lazarus) محسوب می‌شود، وجوهی را از مؤسسات مالی در سطح جهان هدف قرار داده و می‌دزدد.

جزییات حادثه
یک محقق تهدید از Trellix ادعا کرد که اپراتور‌های APT38 (معروف به واحد 180 کره شمالی) از باج‌افزار‌های Beaf، ZZZZ، ChiChi و PXJ برای اخاذی از برخی قربانیان خود استفاده کرده‌اند.

سه خانواده (ZZZZ، PKJ، و Beaf) بخش قابل توجهی از کد را با کد منبع VHD به طور مشترک استفاده می‌کنند، که قبلاً با گروه Lazarus APT مرتبط شده است.

در حالی که Tflower و ChiChi در بخشی از کد را با VHD مشترک هستند، همپوشانی برای توابع عمومی‌تر به جای کد‌ها و ویژگی‌های مشترک، مشهودتر بود.

محققان دو سویه را مشاهده کردند که با استفاده از فریمورک چند پلتفمری بدافزار MATA، ابزار مخربی که منحصراً توسط اپراتور‌های لازاروس استفاده می‌شود، در شبکه‌های قربانیان مستقر می‌شوند.

جزییات شباهت‌ها
بر اساس ویژوالیزیشن کد با استفاده از نقشه‌برداری منحنی هیلبرت، مشخص شد که Beaf، ZZZZ، و PXJ در سورس کد و ویژگی‌ها با باج‌افزار TFlower و VHD مشترک هستند.

علاوه بر این، Beaf و ZZZZ کلون‌های یکدیگر هستند.

کدبیس ChiChi تقریباً هیچ نقطه مشترکی ندارد، با این حال، یک آدرس‌ ایمیل مشترک (به عنوان مثال Semenov[.]akkim@protonmail[.]com) توسط ZZZZ و ChiChi در یادداشتهای باج آن‌ها استفاده می‌شده است.
takian.ir researchers associate north korean apt38 group with more ransomware strains 2
حملات سایبری با استفاده از این خانواده‌های باج‌افزار، فقط کسب‌وکار‌ها را در منطقه APAC یا آسیا و اقیانوسیه هدف قرار می‌دهند و یافتن نام قربانیان را سخت‌تر می‌کند، زیرا سایت‌های لیک شده یا چت مذاکره‌ای وجود ندارد.

جزییات اضافی
محققان سعی کردند با بررسی نقل و انتقالات ارز‌های دیجیتال (رمزارز) در پس پرداخت‌های باج، ارتباطات بیشتری را پیدا کنند. با این حال، آن‌ها هیچ همپوشانی در والت‌های رمزارز برای جمع‌آوری باج پیدا نکردند.

مهاجمان کره شمالی در حال جمع‌آوری مقادیر کمی از دارایی‌های رمزارز کشف شده‌اند. به عنوان مثال، انتقال 2.2 BTC در اواسط سال ۲۰۲۰ اتفاق افتاد و تقریباً ۲۰۰۰۰ دلار ارزش داشته است.

علاوه بر این، هر دو Tflower و ChiChi در مقایسه با باج‌افزار VHD بسیار متفاوت هستند.

نتیجه‌گیری
محققان این گونه‌های باج‌افزار را با درصد اطمینان بالا به هکر‌های وابسته به کره شمالی نسبت داده‌اند. این بیشتر نشان دهنده علاقه فزاینده هکر‌های کره شمالی به استفاده از باج‌افزار برای اخاذی است. بنابراین، سازمان‌ها باید با استفاده از راه حل‌های قابل اعتماد ضد بدافزار از محافظت سازمان خود در مقابل این حملات اطمینان حاصل نمایند.

برچسب ها: APAC, Tflower, VHD, ChiChi, ZZZZ, PXJ, Beaf, Lazarus APT, APT38, Trellix, فریم‌ورک‌, ارز‌های دیجیتال, لازاروس, MATA, Lazarus, والت, باج‌افزار, Wallet, APT, cybersecurity, رمزارز, BTC, ransomware , کره شمالی, cryptocurrency, هکر, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ