前情提要
微軟資安危害情報中心 （Microsoft Treat Intelligence Center, MSTIC） 在7月13日針對駭客組織 H0lyGh0st （編號：DEV-0530）的身份和攻擊方式發表了一篇報告，說明 H0lyGh0st 駭客組織如何透過遠端程式碼執行 （remote code execution, REC） 對中小型企業用戶的資料檔案進行存取和勒索攻擊。

 

H0lyGh0st是誰？可能動機為何？
經過對於時區、自訂的惡意攻擊控制器名稱以基礎設備規格的比對，認為 H0lyGh0st 以針對能量和國安企業的北韓駭客組織  PLUTONIUM 具有相同的資源背景。目前 MSTIC 初步推測 H0lyGh0st 可能對中小企業發動攻擊的原因主要有二：
一、受到北韓政府的委託，振興天災和疫情下的經濟危機；
二、PLUTONIUM 組織目前正在發展的第二個金源。
自去年的6月首次亮相到去年 9 月的三個月間，已有數家企業受到 H0lyGh0st 以「減少社會中的貧富差距」、「提升資安意識」的名進行公開企業資訊的勒索。

 

H0lyGh0st的勒索手法
截至去年 11 月的統計資訊，受到 H0lyGh0st 攻擊的企業主要來自於中小企業，產業類別包含：教育、金融、製造等等。透過DotCMS remote code execution的漏洞 （弱點編號：CVE-2022-26352 ，詳請見：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-26352） 進入到目標攻擊企業的網域系統中。在最新的更新中，H0lyGh0st 所開發的 BTLC.exe 攻擊程式會使用預設的使用者名稱和密碼進入惡意軟件中硬編碼的企業內網。將公鑰上傳到 C2 的伺服器上，並特殊加密受害者的所有文件。之後，H0lyGh0st 會同時在系統中留下勒索的資訊，並透過 email 聯絡受害者進行付款以解密文件。

 

參考資料：

• microsoft (14 Jul 2022): https://www.microsoft.com/security/blog/2022/07/14/north-korean-threat-actor-targets-small-and-midsize-businesses-with-h0lygh0st-ransomware/

• threatpost (15 Jul 2022) : https://threatpost.com/h0lygh0st-ransomware-north-korea/180232/