研究人员发现更多 WannaCry 与朝鲜黑客组织关联的证据

Google、赛门铁克和卡巴斯基的安全研究人员上周报告了勒索软件 WannaCry 可能与朝鲜黑客组织 Lazarus Group 有关联的证据。现在，赛门铁克通过最新的官方博客报告了更多的证据。在 5 月 12 日WannaCry 全球性爆发前，其早期版本曾在二月、三月和四月份用以执行少量目标性攻击。早期版本的 WannaCry 和 2017 年 5 月的版本基本相同，只是传播方式有所差别，区别是后者整合了 NSA 的代码。攻击者所使用的工具、技术和基础设施与之前 Lazarus 攻击事件有大量共同点：在 WannaCry 于二月份的首次攻击之后，受害者网络上发现了与 Lazarus 有关恶意软件的三个组成部分—— Trojan.Volgmer 和 Backdoor.Destover 的两个变体，后者是索尼影业公司攻击事件中所使用的磁盘数据清除工具；Trojan.Alphanc 用以在三月和四月份中传播 WannaCry，该病毒是 Backdoor.Duuzer 的修正版，而 Backdoor.Duuzer 之前与 Lazarus 有所关联；Trojan.Bravonc 与 Backdoor.Duuzer 和 Backdoor.Destover 使用相同的 IP 地址以进行命令和控制，而后两者均与 Lazarus 有所关联；Backdoor.Bravonc 的代码混淆方法和 WannaCry 与 Infostealer.Fakepude（与 Lazarus 有所关联）相似。