详细内容或原文请订阅后点击阅览
朝鲜 APT(?) 和最近的 Ryuk 勒索软件攻击
我们的威胁情报团队在 2018 年一直在跟踪 Emotet 僵尸网络。在我们之前的文章中,我们报道了一场大规模的 Emotet 活动,重点关注电子邮件内容泄露。今天,我们回顾了从 Telltale 威胁情报服务收集的证据,这些证据表明 Emotet 参与了最新一波 Ryuk 勒索软件攻击的传递机制,被称为朝鲜国家支持的网络攻击。来自数据集的证据补充了缺失的叙述,以显示通过有组织的犯罪软件活动可能完整的攻击链。
来源:Kryptos Logic _恶意软件我们的威胁情报团队在 2018 年一直在跟踪 Emotet 僵尸网络。在我们之前的帖子中,我们报道了一场大规模的 Emotet 活动,重点是电子邮件内容泄露。
上一篇文章今天,我们回顾了从 Telltale 威胁情报服务收集的证据,这些证据表明 Emotet 参与了最新一波 Ryuk 勒索软件攻击的传播机制,被称为朝鲜国家支持的网络攻击。
Telltale 威胁情报服务数据集中的证据补充了缺失的叙述,需要展示通过有组织的犯罪软件活动进行的可能且完整的攻击链。此攻击链由初始的 Emotet 感染组成,然后用于传播 Trickbot。在完成攻击链后,在选定的 Trickbot 感染子集中,参与者随后传播 Ryuk。我们的分析表明,在部署任何 Ryuk 勒索攻击之前,Emotet 感染已经持续了数周。这为正在进行的有关朝鲜是否直接使用 Ryuk 攻击组织的归因争论提供了新的情报。
背景
已知的 Ryuk 感染案例并不多,但今年至少有两名受害者公开披露了他们为应对 Ryuk 勒索软件攻击所做的努力。许多其他人没有公开站出来,但据称遭受了同样的攻击模式。一个值得注意的事件是 2018 年 10 月,美国 Onslow 水务局证实他们也遭受了 Ryuk 和 Emotet 家族的攻击。
已确认Checkpoint 最近发布了一份关于 Ryuk 的技术报告,其中详细介绍了 2018 年 8 月针对全球各个组织的攻击活动。他们的文章将 Ryuk 与另一个名为 Hermes 的恶意软件家族联系起来,该恶意软件之前曾被 Lazarus 组织用于攻击远东国际银行。
Ryuk 技术报告 Lazarus 组织 BAE 报告 综合 APT38 报告 其他 文章