美韩联合警告关键部门小心朝鲜勒索软件攻击

美国和韩国机构警告说，朝鲜政府利用与朝鲜有联系的黑客组织对关键基础设施进行的勒索软件攻击为其恶意网络行动提供资金。

美国 CISA 发布了一份网络安全公告 (CSA)，向网络防御者提供有关威胁行为者的信息。关于针对医疗保健和公共卫生部门，组织以及其他关键基础设施部门实体的持续勒索软件活动的联合 CSA 是美国国家安全局 (NSA)、美国联邦调查局 (FBI)、美国网络安全局之间合作的结果和基础设施安全局 (CISA)、美国卫生与公众服务部 (HHS)、韩国 (ROK) 国家情报局 (NIS) 和韩国国防安全局 (DSA)（以下简称“创作机构”）。

“该通报重点介绍了朝鲜网络攻击者用来访问医疗保健和公共卫生 (HPH) 部门组织和其他关键基础设施部门实体并对其进行勒索软件攻击的 TTP 和 IOC，以及朝鲜网络攻击者使用加密货币索要赎金的行为。” 阅读联合资讯。

据报道，这些朝鲜威胁行为者购买了虚拟专用网络 (VPN) 和虚拟专用服务器 (VPS) 或第三国 IP 地址以隐藏其位置。他们利用各种常见漏洞来获取访问权限并提升网络权限政府机构详细说明了与朝鲜 APT 组织相关的 TTP，例如：

• 获取基础设施 “ T1583 ”。威胁行为者生成域、角色和账户；并识别加密货币服务以执行其勒索软件操作。

• 混淆身份。威胁行为者通过使用第三方外国附属机构身份或以第三方外国附属机构身份开展业务来故意混淆他们的参与，并使用第三方外国中介机构接收赎金。

  
  

• 购买 VPN 和 VPS “T1583.003 ”。威胁行为者使用虚拟专用网络 (VPN) 和虚拟专用服务器 (VPS) 或第三国 IP 地址来隐藏攻击源。

  
  

• 获得访问权限 “TA0001 ”。威胁参与者利用各种常见漏洞，包括CVE 2021-44228、CVE-2021-20038和CVE-2022-24990。该公告还指出，攻击者在攻击中使用了“X-Popup”的特洛伊木马化文件，这是韩国中小型医院员工常用的开源信使。

  
  

• 横向移动和发现 "TA0007，  TA0008 "。攻击者使用带有定制恶意软件的分阶段有效载荷来执行侦察活动、上传和下载其他文件和可执行文件，以及执行 shell 命令 "T1083、  T1021 "。该恶意软件还用于收集受害者信息并将其发送到远程主机 "TA0010"。

  
  

• 使用各种勒索软件工具 "TA0040"。攻击者使用私人开发的勒索软件，例如 Maui 和 H0lyGh0st，以及其他勒索软件系列，包括 BitLocker、Deadbolt、ech0raix、GonnaCry、Hidden Tear、Jigsaw、LockBit 2.0、My Little Ransomware、NxRansomware、Ryuk和 YourRansom "T1486"。

  
  

• 以加密货币索要赎金。民族国家行为者要求用比特币支付赎金 "T1486 "。他们通过 Proton Mail 电子邮件账户与受害者沟通。

在获得初始访问权限后，观察到这些朝鲜网络参与者使用带有定制恶意软件的分阶段有效载荷来执行侦察活动和执行 shell 命令等技术。在这些活动中，一直部署私人开发的勒索软件，并以比特币为赎金要求。

为了抵御这些威胁，CISA 咨询提倡几种缓解措施，例如通过验证和加密连接来限制对数据的访问，在账户中使用最小权限的概念以及为网络和资产创建多层防御。

根据Xage Security联合创始人兼产品高级副总裁 Roman Arutyunov的说法，关键基础设施提供商应该接受这些变化，尽管与此类实施相关的技术困难。

Arutyunov在一封电子邮件中告诉Infosecurity：“我确实认识到，当涉及到进行安全架构更改的困难时，存在恐惧，但有可用的工具来平滑过渡并同时增强安全性和操作。”

“最终，会有更多的威胁到来，所以现在就开始这个过程是明智的。”在 Proofpoint 研究人员揭露了一个名为 TA444 的新朝鲜网络攻击者后数周，CISA 发布了咨询报告。