Google、賽門鐵克和卡巴斯基的安全研究人員上周報(bào)告了勒索軟件 WannaCry 可能與朝鮮黑客組織 Lazarus Group 有關(guān)聯(lián)的證據(jù)?,F(xiàn)在,賽門鐵克通過(guò)最新的官方博客報(bào)告了更多的證據(jù)。在5月 12 日WannaCry 全球性爆發(fā)前,其早期版本曾在二月、三月和四月份用以執(zhí)行少量目標(biāo)性攻擊。
早期版本的 WannaCry 和 2017 年 5 月的版本基本相同,只是傳播方式有所差別,區(qū)別是后者整合了 NSA 的代碼。攻擊者所使用的工具、技術(shù)和基礎(chǔ)設(shè)施與之前 Lazarus 攻擊事件有大量共同點(diǎn):
在 WannaCry 于二月份的首次攻擊之后,受害者網(wǎng)絡(luò)上發(fā)現(xiàn)了與 Lazarus 有關(guān)惡意軟件的三個(gè)組成部分—— Trojan.Volgmer 和 Backdoor.Destover 的兩個(gè)變體,后者是索尼影業(yè)公司攻擊事件中所使用的磁盤數(shù)據(jù)清除工具;
Trojan.Alphanc 用以在三月和四月份中傳播 WannaCry,該病毒是 Backdoor.Duuzer 的修正版,而 Backdoor.Duuzer 之前與 Lazarus 有所關(guān)聯(lián);
Trojan.Bravonc 與 Backdoor.Duuzer 和 Backdoor.Destover 使用相同的 IP 地址以進(jìn)行命令和控制,而后兩者均與 Lazarus 有所關(guān)聯(lián);
Backdoor.Bravonc 的代碼混淆方法和 WannaCry 與 Infostealer.Fakepude(與 Lazarus 有所關(guān)聯(lián))相似。
圖1.Backdoor.Duuzer樣本,哈希值為fa6ee9e969df5ca4524daa77c172a1a7
圖2.Backdoor Alphanc樣本,哈希值為E8C6ACC1EB7256DB728C0F3FED5D23D7
圖3.Trojan.Alphanc和Backdoor.Duuzer之間的共用字符串
Backdoor.Bravonc和Backdoor.Destover之間的加密數(shù)字相關(guān)例程
圖4.Trojan.Bravonc樣本,哈希值為55dd9b0af2a263d215cb4fd48f16231a
圖5.Destover變體,哈希值為0f246a13178841f8b324ca54696f592b