朝鲜黑客组织DEV-0530正利用勒索软件实施攻击

日前，微软威胁情报中心披露了一个至今已多次入侵多个国家中小企业并进行勒索攻击的朝鲜黑客组织 DEV-0530。

这个自称 H0lyGh0st 的黑客组织利用同名勒索软件进行入侵并勒索赎金，攻击活动最早可以溯源到 2021年09月时。

微软威胁情报中心发现黑客组织 DEV-0530 于2021年11月使用 HolyRS.exe 成功入侵了多个国家和地区的多个目标。

该黑客组织可能利用了编号为 CVE-2022-26352 的漏洞，目标涉及制造组织、银行、学校以及活动和会议策划组织。

据悉，黑客组织 DEV-0530 还维护了一个 .onion 的暗网网站，与受害者进行沟通，这样的做法和其他勒索组织相似。

黑客成功入侵后会将目标设备上的所有文件加密并使用文件扩展名 .h0lyenc，然后向受害者发送文件样本索要赎金。

为了给受害者施压，他们会声称在社交媒体上公布企业的数据，如果拒绝支付赎金就直接将数据发送给受害者客户。

相信在这样的攻击手段下，很多企业都会通过支付赎金的方式向黑客组织妥协，毕竟被加密资料肯定包含商业机密。

通过病毒溯源分析，微软认为 DEV-0530 与朝鲜黑客组织 PLUTONIUM (aka DarkSeoul 或 Andariel)存在一定关联。

虽然 DEV-0530 黑客组织在攻击活动中使用独有的 H0lyGh0st 勒索软件，但其使用的是 PLUTONIUM 开发的工具。

再加上对两个组织之间的通信的分析，微软认定 DEV-0530 黑客组织与之前被追踪的 PLUTONIUM 属同一黑客组织。

资料显示，DEV-0530 黑客组织以开展勒索软件活动勒索赎金为目的，通过 .onion 网站网站宣称“缩小了贫富差距”。

而 PLUTONIUM 黑客组织自 2014 年开始活跃，主要攻击对象为印度、韩国、美国的新能源和国防工业组织和机构。