美杜莎勒索軟體攻擊活動
與北韓有關聯的駭客組織 Lazarus Group(也被稱為 Diamond Sleet 和 Pompilus)被發現使用 Medusa 勒索軟體攻擊了中東地區未具名的組織。安全研究人員也發現,同一組織曾試圖入侵美國一家醫療機構,但未能成功。
Medusa 採用勒索軟體即服務 (RaaS) 模式運營,由一個名為 Spearwing 的網路犯罪組織於 2023 年發起。自成立以來,該組織已聲稱對超過 366 起攻擊事件負責。對 Medusa 洩漏入口網站的審查顯示,自 2025 年 11 月起,四家位於美國的醫療保健和非營利機構被列為受害者,其中包括一家心理健康非營利組織和一家服務於自閉症兒童的教育機構。目前尚不清楚所有事件是否都直接歸咎於北韓特工,或者 Medusa 的其他關聯組織是否也參與了部分入侵。在此期間,平均贖金約為 26 萬美元。
目錄
北韓境內勒索軟體演進模式
北韓網路部隊使用勒索軟體早已是公開的秘密。早在2021年,一個名為Andariel(又稱Stonefly)的Lazarus子集群就利用SHATTEREDGLASS、Maui和H0lyGh0st等專有勒索軟體家族,對韓國、日本和美國發動了攻擊。
2024 年 10 月,該組織與 Play 勒索軟體的部署有關,這標誌著其策略轉向使用市售勒索軟體,而不是僅依賴客製化的有效載荷。
這種轉變並非Andariel獨有。另一家北韓威脅組織Moonstone Sleet,先前曾與定製版FakePenny勒索軟體有關聯,據報導也曾使用麒麟勒索軟體攻擊韓國金融機構。總而言之,這些事態發展表明,北韓勒索軟體業者正在進行更廣泛的策略調整,他們越來越多地以合作夥伴的身份融入現有的勒索軟體即服務(RaaS)生態系統,而不是維護完全自主的勒索軟體工具鏈。
支援美杜莎行動的戰鬥工具包
與美杜莎相關的攻擊活動歸因於 Lazarus,其手段融合了自主開發的惡意軟體和公開可用的攻擊工具。已發現的工具包括:
- RP_Proxy,一款專有代理實用程式。
- Mimikatz 是一款廣泛用於後滲透活動的憑證轉儲工具。
- Comebacker,Lazarus 獨有的後門。
- InfoHook 是一款資訊竊取程序,之前與 Comebacker 部署有關。
雖然勒索手段與早期的安達利爾行動相似,但目前活動尚未被確鑿地歸因於拉撒路組織的特定分支。
戰略意義:務實主義優於專有開發
採用 Medusa 和 Qilin 等勒索軟體變種體現了營運上的務實態度。開發和維護客製化的勒索軟體家族需要大量的資源、測試和基礎設施。利用成熟的勒索軟體即服務 (RaaS) 平台可以立即獲得成熟的加密功能、營運支援和行之有效的獲利機制。與開發和維護成本相比,聯盟會員費結構可以被視為合理的權衡。
持續且不受限制的瞄準
轉向使用現成的勒索軟體進一步凸顯了北韓持續從事以經濟利益為目的的網路犯罪活動。攻擊目標的選擇模式顯示其幾乎沒有任何限制,包括美國醫療機構在內的許多組織都成為了攻擊目標。雖然一些犯罪集團公開聲稱會避免攻擊醫療機構以減輕聲譽損失,但在與拉札勒斯組織有關的行動中,似乎並沒有類似的限制。
