Северокорейские хакеры уже более года используют шифровальщика «Holy Ghost» в атаках, направленных против малых предприятий в разных странах.
Шифровальщик «Holy Ghost».
Исследователи из MSTIC отслеживают группу вымогателей Holy Ghost как DEV-0530. В недавнем отчете они утверждают, что первая полезная нагрузка от этой группы была замечена в прошлом году в июне.
- Ранний вариант Holy Ghost, обнаруженный как SiennaPurple (BTLC_C[.]exe), не обладал большим количеством функций по сравнению с другими версиями на базе Go, появившимися в октябре 2021 года.
- Последние штаммы отслеживаются как SiennaBlue и включают полезные нагрузки HolyLocker[.]exe, BTLC[.]exe и HolyRS[.]exe.
Оба варианта были созданы и использованы DEV-0530 в своих кампаниях. Однако со временем функционал этих штаммов расширился, добавив несколько вариантов шифрования, управление открытыми ключами, поддержку интернета/интранета и обфускацию строк.
Жертвы.
DEV-0530 успешно атаковал множество целей, включая школы, банки, производственные организации, а также организации, занимающиеся планированием мероприятий и встреч. В основном, злоумышленники требовали от жертв 1,2 - 5 BTC.
Связи с Северной Кореей.
По мнению исследователей небольшая частота атак и случайный выбор жертв подтверждают версию о том, что программа Holy Ghost управляется Северной Кореей.
- MSTIC обнаружила переписку по электронной почте между Holy Ghost и злоумышленником, входящим в группу Lazarus Group (Andariel), предположительно работающую под началом Главного разведывательного бюро Северной Кореи.
- Кроме того, было замечено, что обе группы действовали с применением одного и того же набора инфраструктуры. Кроме того, они использовали собственные контроллеры вредоносного ПО с похожими названиями, что делает указанную связь более тесной.
Заключение
Holy Ghost остается активным более года, но не вызвал никаких тревожных сигналов. Это свидетельствует о том, какие усилия предпринимают злоумышленники, чтобы сохранить скрытность своих операций. Для того чтобы организации оставались защищенными, эксперты рекомендуют совместные действия, включая обмен индикаторами компрометации при изучении вредоносного ПО.
Источник: https://cyware.com