卡巴斯基称Maui勒索软件与东北亚某国的APT组织“Andariel”有关

Maui 勒索软件活动与东北亚某国资助的专业黑客组织“Andariel”有关，该组织以利用恶意攻击创收而闻名。该黑客组织因策划具有经济动机的活动而臭名昭著，他们通过勒索软件操作完成其经济目标。

Maui 勒索软件和Andariel APT组织之间的联系是由卡巴斯基研究人员建立，Andariel APT组织的攻击活动针对韩国媒体、建筑、制造和网络服务公司。

Andariel（又名 Stonefly）APT组织，以执行间谍活动、数据盗窃、数据擦除以及通过网络攻击获得经济利益等活动，该组织至少从 2015 年开始运营。

上个月，Andariel 作为东北亚某国支持的黑客组织之一，美国国务院宣布悬赏1000万美元以获取该组织的相关信息。

Maui 勒索软件于 2021 年 4 月开始攻击（基于构建时间戳），重点关注美国医疗保健组织。FBI 和 CISA 此前曾发布有关 Maui 勒索软件的警告，指向东北亚某国的攻击者。美国执法机构近期曾成功追回了医院支付给该勒索软件团伙的 50 万美元赎金。

卡巴斯基的最新报告建立在之前的披露基础之上，并提供了早期Maui针对一家日本房地产公司的袭击以及随后在印度、俄罗斯和越南发生未经证实的袭击的证据。

根据卡巴斯基的说法，日本受害者在加密前几个小时受到DTrack恶意软件的攻击，随后的日志分析显示，几个月前该公司的网络中就存在“3Proxy”工具。

DTrack（也称为 Preft）是一种模块化恶意软件，专门通过 Windows 命令进行数据盗窃和HTTP渗透。3Proxy 是在 Andariel APT组织过去的各种活动中观察到的免费开源代理服务器程序。

在针对日本、俄罗斯、印度和越南公司的攻击中使用的特定 DTrack 变体与之前的 Andariel 操作直接相关的样本具有 84% 的代码相似性。

针对这家日本公司使用的恶意软件使用了与 2021 年赛门铁克分析的Andariel 活动的文章中所报告的相同 shellcode。

在这些攻击中发现的初始网络攻击方法具有典型的 Andariel 特征，例如利用易受攻击的 Weblogic 漏洞(CVE-2017-10271)。卡巴斯基指出，其分析师已经看到了 Andariel APT组织在 2019 年使用的相同漏洞和攻击方法。

卡巴斯基表示，他们对上述关联分析持中等信心。

参考链接：www.bleepingcomputer.com

来源：会杀毒的单反狗