新的北韩勒索病毒团队 H0lyGh0st 的崛起

文章重点

• 微软发现了一个新的北韩勒索病毒团队 H0lyGh0st，可能与政府指导的 DarkSeoul 有重叠。
• H0lyGh0st 主要针对小型和中型企业，并在多个国家中活跃。
• 微软认为 HolyGhost 可能是由政府指导，或者是 DarkSeoul 的成员兼职。
• HolyGhost 开发了两种主要的勒索病毒，分别是 SiennaBlue 和 SiennaPurple。

微软最近揭露了一个名为 H0lyGh0st 的新北韩勒索病毒团队，这个团队可能与由金正恩政权指导的 DarkSeoul有重叠。根据微软威胁情报中心的，H0lyGh0st专注于捕捉有机会的受害者，最近在多个国家的多家小型和中型企业里被看见活跃。该团队自去年六月以来不断开发恶意软体。

虽然该团队在其 onion 网页上称自己为 H0lyGh0st 和
HolyGhost，并在恶意软体和档案扩展名称中使用「Holy」这个词的不同变体，微软则将该团队标记为 DEV-0530。为了提高可读性，本文将使用
HolyGhost 这个名称。

微软指出，HolyGhost 所用的攻击基础设施与 DarkSeoul 有重叠，并且有证据显示 HolyGhost 相关的电子邮件帐户与 DarkSeoul的帐户有通信。微软认为 HolyGhost 的行动时间显示其成员可能生活在北韩或相近的时区，这提出两种可能性：要么 HolyGhost是为金政权筹集资金的政府指导团队，要么 DarkSeoul的成员在兼职。这两种情况皆符合的特征。

过去，勒索病毒集团 Evil Corp因与受制裁的间谍组织合作而受到制裁，并使支付赎金的行为变得非法。虽然这是微软的最新博文，但现阶段尚无法评估这种情况是否会在此处重演。

HolyGhost 在其 onion网站上（当前已经关闭，但部分内容已被微软存档）声称其工作有三个目标：“缩小贫富差距”、“帮助贫苦和饥饿的人”、“提高安全意识”。

HolyGhost 的勒索病毒似乎分为两个家族，微软称之为 SiennaBlue 和 SiennaPurple。SiennaPurple 写于 C++，在
2021 年六月至十月期间使用，唯一的变种是 BTLC_C.exe。而 SiennaBlue 自十月开始使用，则是用 Go语言编写的，您可见到三种类型（HolyRS.exe、HolyLock.exe 和 BTLC.exe），这些版本皆基于相同的核心功能。

微软表示，它的 Windows Defender 可以检测到 SiennaPurple 和
SiennaBlue，并建议用户采取标准的勒索病毒预防和应对措施，以减少攻击风险。