Mitmeid lunavara tüvesid on seostatud APT38-ga, Põhja-Korea sponsoreeritud häkkimisgrupiga, mis on tuntud oma keskendumise poolest kogu maailma finantsasutustelt rahaliste vahendite sihtimisele ja varastamisele.
Teadaolevalt kasutavad nad rünnakute viimases etapis oma ohvrite võrkudesse hävitavat pahavara, mis tõenäoliselt hävitab kõik nende tegevuse jäljed.
Küberjulgeolekufirma Trellix peamine ohtude uurija Christiaan Beek ütles, et rühmituse operaatorid (osa Põhja-Korea küberarmee büroo 121 üksusest 180) on kasutanud ka Beafi, PXJ-d, ZZZZ-i ja ChiChit, et mõnelt oma ohvrilt raha välja pressida.
Lingid APT38-ga leiti koodi ja esemete sarnasuse tuvastamiseks VHD lunavaraga, mis sarnaselt TFloweri lunavaraga oli seotud Põhja-Korea Lazarus APT grupiga.
Kaspersky ja Sygnia teadlased lõid ühenduse pärast seda, kui nägid, et kaks tüve on ohvrite võrkudesse juurutatud MATA platvormidevahelise pahavara raamistiku kaudu, mis on Kaspersky sõnul ainult Lazaruse operaatorite kasutatav pahatahtlik tööriist.
Beek paljastas kolmapäeval, et Hilberti kõvera kaardistamist kasutava koodi visualiseerimise põhjal jagavad PXJ, Beaf ja ZZZZ märkimisväärsel hulgal lähtekoodi ja funktsioone VHD ja TFloweri lunavaraga, kusjuures Beaf ja ZZZZ on üksteise peaaegu täpsed kloonid.
'Te ei pea olema pahavara spetsialist, et kohe aru saada, et ZZZ ja BEAF Ransomware pildid on peaaegu identsed,' ütles Trellixi uurija.
'Samuti ilmneb, et nii Tflower kui ka ChiChi on VHD-ga võrreldes väga erinevad.'
Lunavara tüvede võrdlus (Trellix)
Kuigi ChiChi koodibaasil on vähe või üldse mitte ühtegi ühisosa, suutis Beek avastada, et Semenov[.]akkim @protonmail[.]com e-posti aadressi kasutasid nii ChiChi kui ka ZZZZ oma lunarahakirjades.
Neid lunavaraperekondi kasutavad rünnakud on sihikule võtnud ainult Aasia ja Vaikse ookeani piirkonna (APAC) üksusi, mistõttu on ohvrite identiteedi leidmine raskendatud, kuna puudusid kauplemisvestlused ega lekkesaidid, mida uurida.
Trellix üritas ka avastada täiendavaid seoseid, analüüsides lunarahamaksete taga olevaid krüptovaluutaülekandeid, kuid ei leidnud lunaraha kogumiseks kasutatud krüptorahakottide kattumist.
Siiski leidsid nad, et Põhja-Korea häkkerid suutsid koguda vaid väikeses koguses krüptovarasid (näiteks 2,2 BTC ülekanne 2020. aasta keskel, tol ajal 20 000 dollari väärtuses).
'Kahtlustame, et lunavarapered […] on osa organiseeritumatest rünnakutest,' lisas Beek.
'Meie uuringute, kombineeritud luureandmete ja väiksemate sihitud lunavararünnakute vaatluste põhjal omistab Trellix need KRDV-ga seotud häkkeritele suure kindlustundega.'
Mida sa arvad?
