新的北韩勒索病毒团队 H0lyGh0st 的崛起

文章重点

微软最近揭露了一个名为 H0lyGh0st 的新北韩勒索病毒团队，这个团队可能与由金正恩政权指导的 DarkSeoul 有重叠。根据微软威胁情报中心的博文，H0lyGh0st 专注于捕捉有机会的受害者，最近在多个国家的多家小型和中型企业里被看见活跃。该团队自去年六月以来不断开发恶意软体。

虽然该团队在其 onion 网页上称自己为 H0lyGh0st 和 HolyGhost，并在恶意软体和档案扩展名称中使用Holy这个词的不同变体，微软则将该团队标记为 DEV0530。为了提高可读性，本文将使用 HolyGhost 这个名称。

微软指出，HolyGhost 所用的攻击基础设施与 DarkSeoul 有重叠，并且有证据显示 HolyGhost 相关的电子邮件帐户与 DarkSeoul 的帐户有通信。微软认为 HolyGhost 的行动时间显示其成员可能生活在北韩或相近的时区，这提出两种可能性：要么 HolyGhost 是为金政权筹集资金的政府指导团队，要么 DarkSeoul 的成员在兼职。这两种情况皆符合对抗性政府指导骇客的特征。

过去，勒索病毒集团 Evil Corp 因与受制裁的间谍组织合作而受到制裁，并使支付赎金的行为变得非法。虽然这是微软的最新博文，但现阶段尚无法评估这种情况是否会在此处重演。

HolyGhost 在其 onion 网站上当前已经关闭，但部分内容已被微软存档声称其工作有三个目标：“缩小贫富差距”、“帮助贫苦和饥饿的人”、“提高安全意识”。

HolyGhost 的勒索病毒似乎分为两个家族，微软称之为 SiennaBlue 和 SiennaPurple。SiennaPurple 写于 C，在 2021 年六月至十月期间使用，唯一的变种是 BTLCCexe。而 SiennaBlue 自十月开始使用，则是用 Go 语言编写的，您可见到三种类型HolyRSexe、HolyLockexe 和 BTLCexe，这些版本皆基于相同的核心功能。

微软表示，它的 Windows Defender 可以检测到 SiennaPurple 和 SiennaBlue，并建议用户采取标准的勒索病毒预防和应对措施，以减少攻击风险。