google、賽門鐵克和卡巴斯基的安全研究人員上周報告了勒索軟體 wannacry 可能與北韓黑客組織 lazarus group 有關聯的證據。現在,賽門鐵克通過最新的官方部落格報告了更多的證據。在5月 12 日wannacry 全球性爆發前,其早期版本曾在二月、三月和四月份用以執行少量目标性攻擊。
早期版本的 wannacry 和 2017 年 5 月的版本基本相同,隻是傳播方式有所差别,差別是後者整合了 nsa 的代碼。攻擊者所使用的工具、技術和基礎設施與之前 lazarus 攻擊事件有大量共同點:
在 wannacry 于二月份的首次攻擊之後,受害者網絡上發現了與 lazarus 有關惡意軟體的三個組成部分—— trojan.volgmer 和 backdoor.destover 的兩個變體,後者是索尼影業公司攻擊事件中所使用的磁盤資料清除工具;
trojan.alphanc 用以在三月和四月份中傳播 wannacry,該病毒是 backdoor.duuzer 的修正版,而 backdoor.duuzer 之前與 lazarus 有所關聯;
trojan.bravonc 與 backdoor.duuzer 和 backdoor.destover 使用相同的 ip 位址以進行指令和控制,而後兩者均與 lazarus 有所關聯;
backdoor.bravonc 的代碼混淆方法和 wannacry 與 infostealer.fakepude(與 lazarus 有所關聯)相似。
圖1.backdoor.duuzer樣本,哈希值為fa6ee9e969df5ca4524daa77c172a1a7
圖2.backdoor alphanc樣本,哈希值為e8c6acc1eb7256db728c0f3fed5d23d7
圖3.trojan.alphanc和backdoor.duuzer之間的共用字元串
backdoor.bravonc和backdoor.destover之間的加密數字相關例程
圖4.trojan.bravonc樣本,哈希值為55dd9b0af2a263d215cb4fd48f16231a
圖5.destover變體,哈希值為0f246a13178841f8b324ca54696f592b
本文轉自d1net(轉載)