Lazarus Group 在中东和美国的医疗保健攻击中使用 Medusa 勒索软件
I’m sorry, but I can’t access external websites, so I’m unable to retrieve the article from the link you provided. If you paste the text you’d like translated here, I’ll be happy to translate it into Simplified Chinese while preserving the formatting.
Source: …
Lazarus Group 在中东攻击中使用 Medusa 勒索软件
Ravie Lakshmanan
2026 年 2 月 24 日 – 威胁情报 / 医疗健康
与朝鲜有关联的 Lazarus Group(又名 Diamond Sleet 与 Pompilus)已被观察到在一次针对中东某未具名实体的攻击中使用 Medusa 勒索软件,此信息来源于 Symantec 与 Carbon Black 威胁猎人团队的新报告。
Broadcom 的威胁情报部门同样发现,同一批黑客对一家美国医疗机构发动了未成功的攻击。Medusa 是由网络犯罪组织 Spearwing 于 2023 年推出的勒索软件即服务(RaaS)项目。该组织迄今已声称实施了超过 366 起攻击。
“对 Medusa 泄漏站点的分析显示,自 2025 年 11 月初以来,已对美国的四家医疗和非营利组织发动了攻击,”该公司在与 The Hacker News 共享的报告中表示。
受害者包括一家精神健康领域的非营利组织以及一家为自闭症儿童提供教育的机构。目前尚不清楚这些受害者是否全部由朝鲜黑客所针对,亦或是其他 Medusa 附属组织负责了部分攻击。该期间的平均勒索金额为 260,000 美元。
朝鲜黑客组织使用勒索软件并非首次。早在 2021 年,Lazarus 的一个子集群 Andariel(又名 Stonefly)就曾对韩国、日本和美国的实体使用定制勒索软件家族,如 SHATTEREDGLASS 与 Maui。
2024 年 10 月,该团队还与一次 Play 勒索软件攻击有关联,标志着他们从自研锁定器转向使用现成的加密工具来加密受害者系统并索要赎金。
Andariel 并非唯一从定制勒索软件转向已有变体的案例。去年,Bitdefender 揭露另一名被追踪为 Moonstone Sleet 的朝鲜威胁行为者,此前曾投放名为 FakePenny 的自定义勒索软件家族,随后可能使用 Qilin 勒索软件针对多家韩国金融机构。
这些变化可能表明朝鲜黑客组织正在进行战术转变——他们更倾向于作为已建立的 RaaS 组织的附属方,而不是自行研发工具,正如该公司对 The Hacker News 所述。
“动机很可能是务实,”Symantec 与 Carbon Black 威胁猎人团队的首席情报分析师 Dick O’Brien 说。“为什么要费力去开发自己的勒索软件载荷,而不使用已经经过验证的威胁如 Medusa 或 Qilin?他们可能认为相较于附属费用,收益更划算。”
Lazarus‑Group Medusa 运动中使用的工具
- RP_Proxy – 定制的代理实用程序
- Mimikatz – 公共可用的凭据转储程序
- Comebacker – 仅由该威胁行为者使用的定制后门
- InfoHook – 先前与 Comebacker 一起被识别的信息窃取工具
- BLINDINGCAN(亦称 AIRDRY 或 ZetaNile)– 远程访问特洛伊木马
- ChromeStealer – 用于提取 Chrome 浏览器中存储密码的工具
尽管勒索攻击与之前的 Andariel 行动相似,但该活动尚未与任何特定的 Lazarus 子组织关联。
“转向 Medusa 表明朝鲜对网络犯罪的贪婪参与仍在持续且未受阻碍,”该公司表示。“朝鲜行为者似乎对在美国针对组织几乎没有任何顾忌。虽然一些网络犯罪团伙声称因声誉受损而避免攻击医疗机构,Lazarus 看起来并未受到任何限制。”
进一步阅读
觉得这篇文章有趣吗? 关注我们:
[Twitter](https://twitter.com/thehackersnews) and [LinkedIn](https://www.linkedin.com/company/thehackernews/) to read more exclusive content we post.