الإصدارات الجديدة من برامج الفدية المرتبطة بتجميع APT38 ransomware

 أصبحت البرمجيات الخبيثة المدمرة التي تدمر آثار المتسللين داخل شبكات الضحايا هي السمة المميزة للمهاجمين.


تم ربط العديد من سلالات برامج الفدية بـ APT38 ، وهي مجموعة قراصنة تابعة للحكومة الكورية الشمالية تشتهر بالهجمات على المؤسسات المالية في جميع أنحاء العالم. في المرحلة الأخيرة من الهجمات ، يقوم المهاجمون بحقن برامج ضارة مدمرة في شبكات الضحايا ، مما يؤدي إلى تدمير أي أثر لأنشطتهم. قال كريستيان بيك ، كبير الباحثين في مجال التهديد في Trellix ، إن مشغلي المجموعة هم جزء من Bureau 121 ، الوحدة 180 للجيش الإلكتروني الكوري الشمالي ، ويستخدمون برامج BEAF و PXJ و ZZZZ و ChiChi لابتزاز ضحاياهم. تم العثور على روابط مع APT38 عند تحليل أوجه التشابه بين الكود والتحف مع VHD و TFlower ransomware. تم إطلاق البرنامج الضار في شبكات الضحايا باستخدام إطار عمل MATA ، الذي استخدمته مجموعة Lazarus فقط ، والذي سمح للمتخصصين من Kaspersky Lab و Sygnia برسم أوجه تشابه مع هجمات المتسللين الكوريين الشماليين. تصور Beek رمز BEAF و PXJ و ZZZZ باستخدام تعيين منحنى هيلبرت وأظهر تشابهها الواضح مع VHD و TFlower. وفقًا للباحث في Trellix ، فإن BEAF و ZZZZ هما نسختان كاملتان تقريبًا من بعضهما البعض ، ويختلف ChiChi اختلافًا كبيرًا عن البرامج الضارة الأخرى.

مقارنة برامج الفدية (Trellix)


على الرغم من أن الكود المصدري لـ ChiChi لا يشبه إلى حد ما البرامج الأخرى ، إلا أن Bick وجد نفس عنوان البريد الإلكتروني في ملاحظات الفدية من ChiChi و ZZZZ.
قال BIC: "استنادًا إلى بحثنا وذكائنا المشترك وملاحظاتنا لهجمات برمجيات الفدية الصغيرة المستهدفة ، يعزوها Trellix إلى قراصنة مرتبطين بكوريا الشمالية بدرجة عالية من الثقة".

استهدفت الهجمات باستخدام عائلات برامج الفدية هذه المنظمات في منطقة آسيا والمحيط الهادئ (APR) فقط ، مما يجعل من الصعب العثور على الضحايا لعدم وجود غرف دردشة أو مواقع تسريب للتحقيق فيها.

حاول Trellix أيضًا الكشف عن أدلة إضافية من خلال تحليل عمليات نقل التشفير المستخدمة لجمع الفدية ، لكنه لم يجد تطابقًا في المحافظ ذات الصلة. وجد الخبراء أن المتسللين كانوا قادرين على جمع كميات صغيرة فقط من أصول التشفير.

وأضاف بيك: "يمكن أن تكون العائلات الصغيرة من برامج الفدية جزءًا من هجمات أكثر تنظيمًا". "استنادًا إلى أبحاثنا وملاحظاتنا ، ينسب Trellix بثقة هجمات رانسوم وير صغيرة النطاق إلى قراصنة كوريين شماليين."

في وقت سابق تم الإبلاغ عن هجمات مجموعة Lazarus hacker على شركات العملات المشفرة.

في العام الماضي ، حكمت محكمة أمريكية على غالب العمري ، وهو مواطن أمريكي وكندي متهم بغسل عشرات الملايين من الدولارات ، بما في ذلك الأموال التي سرقتها مجموعة القرصنة الكورية الشمالية Lazarus Group (APT38).

انشر تعليق

أحدث أقدم