朝鲜 Lazarus 组织与 Medusa 勒索软件攻击有关联

Source: Bleeping Computer

朝鲜国家支持的黑客组织 Lazarus 威胁组正在利用 Medusa 勒索软件对美国医疗机构发动敲诈攻击。

Medusa 勒索软件即服务（RaaS）行动始于 2021 年 1 月，至 2025 年 2 月已在多个关键基础设施行业影响了超过 300 家组织（链接）。此后，该团伙又声称至少还有另外 80 名受害者。

朝鲜威胁行为者此前已被关联到其他勒索软件家族，如 HolyGhost、PLAY、Maui、Qilin，以及其他恶意软件家族。这是安全研究人员首次将该行为者与 Medusa 关联。

归属与动机

在今天的一份报告中，企业网络安全公司 Symantec 表示，一个可能是 Andariel/Stonefly 的 Lazarus 子组现在正使用 Medusa 进行以金融为动机的网络攻击，目标是美国医疗服务提供商。攻击中使用的工具集也显示出与 Diamond Sleet（另一个通常针对媒体、国防和 IT 行业的朝鲜组织）的关联。

研究人员指出，朝鲜黑客没有行业禁区，他们不断参与网络犯罪以获取经济利益。

“虽然一些网络犯罪组织声称会避免攻击医疗机构，以免招致声誉损害，但 Lazaurs 并未表现出任何此类限制，”Symantec 研究人员说。

Medusa 攻击中观察到的工具

在 Medusa 勒索软件攻击中看到的一些工具属于常见工具：

• Comebacker – 与 Diamond Sleet 关联的后门/加载器（已在 Diamond Sleet 中使用）
• Blindingcan – 远程访问特洛伊木马
• ChromeStealer – Chrome 凭证提取工具
• Infohook – 信息窃取工具
• Mimikatz – 凭证转储工具
• RP_Proxy – 定制代理工具
• Curl – 数据传输工具

对医疗及其他行业的影响

Medusa 针对美国的多家医疗和非营利组织。该团伙的数据泄露站点自 2025 年 11 月初以来列出了四个受害者，其中包括一家为自闭症儿童提供教育的机构。

并非所有 Medusa 攻击都能明确归因于 Lazarus 黑客。Medusa 的勒索金额最高可达 1500 万美元，但 Symantec 研究人员称平均勒索额约为 26 万美元。被盗资金被用于支持针对美国、台湾和韩国的国防、技术以及政府部门实体的间谍行动。

妥协指示器

Symantec 在其报告中提供了一组妥协指示器（IoC），包括网络基础设施数据以及用于攻击的恶意软件哈希值。