google、赛门铁克和卡巴斯基的安全研究人员上周报告了勒索软件 wannacry 可能与朝鲜黑客组织 lazarus group 有关联的证据。现在,赛门铁克通过最新的官方博客报告了更多的证据。在5月 12 日wannacry 全球性爆发前,其早期版本曾在二月、三月和四月份用以执行少量目标性攻击。
早期版本的 wannacry 和 2017 年 5 月的版本基本相同,只是传播方式有所差别,区别是后者整合了 nsa 的代码。攻击者所使用的工具、技术和基础设施与之前 lazarus 攻击事件有大量共同点:
在 wannacry 于二月份的首次攻击之后,受害者网络上发现了与 lazarus 有关恶意软件的三个组成部分—— trojan.volgmer 和 backdoor.destover 的两个变体,后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具;
trojan.alphanc 用以在三月和四月份中传播 wannacry,该病毒是 backdoor.duuzer 的修正版,而 backdoor.duuzer 之前与 lazarus 有所关联;
trojan.bravonc 与 backdoor.duuzer 和 backdoor.destover 使用相同的 ip 地址以进行命令和控制,而后两者均与 lazarus 有所关联;
backdoor.bravonc 的代码混淆方法和 wannacry 与 infostealer.fakepude(与 lazarus 有所关联)相似。
图1.backdoor.duuzer样本,哈希值为fa6ee9e969df5ca4524daa77c172a1a7
图2.backdoor alphanc样本,哈希值为e8c6acc1eb7256db728c0f3fed5d23d7
图3.trojan.alphanc和backdoor.duuzer之间的共用字符串
backdoor.bravonc和backdoor.destover之间的加密数字相关例程
图4.trojan.bravonc样本,哈希值为55dd9b0af2a263d215cb4fd48f16231a
图5.destover变体,哈希值为0f246a13178841f8b324ca54696f592b
本文转自d1net(转载)