文章总结： 文档揭示了朝鲜拉撒路组织（LazarusGroup）正与美杜莎（Medusa）勒索软件即服务（RaaS）合作，针对中东和美国脆弱机构（如心理健康非营利组织、自闭症儿童学校）发起多阶段攻击。攻击链包括部署定制后门、凭证窃取工具和数据外传，最终加密并勒索平均约26万美元赎金。这表明国家支持的黑客正利用现有网络犯罪工具伪装身份，增加溯源和防御难度。 综合评分： 78 文章分类： 威胁情报,恶意软件,勒索软件,APT攻击,社会工程学

朝鲜拉撒路组织在全球攻击中使用美杜莎勒索软件

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年2月25日 07:58 北京

朝鲜的网络行动正进军商业勒索软件市场，这表明其更加注重获取直接经济利益。赛门铁克和Carbon Black威胁猎手团队的最新证据表明，臭名昭著的、由朝鲜政府支持的拉撒路集团（Lazarus Group）一直在针对中东目标部署美杜莎（Medusa）勒索软件，并试图入侵美国的医疗机构。

虽然美国的尝试失败了，但这一事件证实，国家支持的犯罪分子正越来越多地利用现有的网络犯罪工具来绕过传统的保护措施。

供您参考，Medusa勒索软件以服务形式运作，其关联方利用该软件锁定网络并索要赎金，以换取利润分成。自2023年出现以来，该软件背后的组织已被证实与300多起成功攻击有关，其中包括Comcast和NASCAR。

现在，通过与美杜莎联手，拉扎勒斯获得了现有的基础设施，该基础设施将他们的身份隐藏在普通网络犯罪团伙的伪装之下，这使得网络安全研究人员和执法部门更难进行溯源和防御。

Medusa勒索软件暗网泄露网站上列出的最新受害者名单

多阶段攻击链

根据赛门铁克发布并分享给 Hackread.com 的博文，Lazarus 组织的攻击遵循多阶段流程，Medusa 勒索软件仅在最后阶段部署。在加密开始之前很久，该组织就会部署一套专门的工具包来破坏本地安全防护。

接下来，他们会进行下一步，包括安装定制的后门和木马程序，例如Blindingcan和Comebacker，从而获得对被入侵网络的永久访问权限。下一步是部署诸如ChromeStealer和Mimikatz之类的凭证窃取工具来收集密码，同时使用名为 Infohook 的工具扫描并收集敏感数据以进行窃取。

为了在不引起注意的情况下转移窃取的信息，该组织利用RP_Proxy内部路由技术，并依赖命令行工具 Curl 将文件发送回自己的服务器。当 Medusa 勒索软件最终启动时，攻击者已经完全控制了网络，并提取了其中最有价值的数据。

目标群体：脆弱机构

研究人员指出，攻击目标模式显示，攻击者特别关注提供重要社会服务的机构。在过去几个月里，“美杜莎”泄密网站公布了多起美国受害者名单，其中包括一家心理健康非营利组织和一所为自闭症儿童提供支持的学校。

这些攻击通常会附带平均约 26 万美元的赔偿要求，这个数字既足以带来可观的收益，又不会高到让走投无路的组织考虑支付费用来恢复服务。

这并非第一次

这并非朝鲜官方支持的威胁组织首次与勒索软件组织联手。据Hackread.com报道，2024 年 10 月，Jumpy Pisces（又名Onyx Sleet和Andariel ，后者也被称为“和平守护者”APT，曾是臭名昭著的HBO 数据泄露事件的幕后黑手）与 Play 勒索软件组织合作实施了网络攻击。

Palo Alto Networks 42 号部门发现了这种合作，他们指出黑客利用开源 Sliver 和他们定制的 DTrack 恶意软件等工具 在网络中横向移动并保持持久性。

专家观点

总部位于亚利桑那州斯科茨代尔的综合证书生命周期管理 (CLM) 提供商 Sectigo 的高级研究员Jason Soroko指出，这些选择背后有着冷酷的逻辑。

索罗科指出： “袭击专门用于心理健康和自闭症儿童的设施表明，这些犯罪分子优先考虑最大限度地利用情感影响力，以确保迅速收到赎金。相对较低的平均赎金要求表明，犯罪分子采取的是以数量为导向的策略，他们瞄准的是长期资金不足、根本无法承受长时间运营中断的行业。”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《朝鲜拉撒路组织在全球攻击中使用美杜莎勒索软件》