朝鲜 Lazarus 黑客组织在中东及美国医疗机构部署 Medusa 勒索软件

Lazarus 组织利用 Medusa 勒索软件发动定向网络攻击

赛门铁克威胁猎人团队（Symantec’s Threat Hunter Team）与 Carbon Black 的安全研究人员近期发现，与朝鲜相关的 Lazarus 组织（亦被追踪为 Diamond Sleet 及 Pompilus）在针对中东某未具名实体的网络攻击中部署了 Medusa 勒索软件。博通（Broadcom）旗下的威胁情报部门亦证实，该组织曾对美国一家医疗机构发动未遂攻击，凸显其攻击目标正不断扩大。

攻击技术细节

报告中虽未披露具体的入侵指标（IOCs）及战术、技术与程序（TTPs），但 Medusa 勒索软件的使用与 Lazarus 组织不断演进的攻击工具库相符。Medusa 是一种于 2021 年首次被观测到的勒索软件，以双重勒索（double-extortion）手法著称——在加密受害者数据的同时，窃取敏感信息以施压受害者支付赎金。该组织转向勒索软件攻击，标志着其战略重心从国家支持的间谍活动及金融窃取转变，可能意味着其动机正趋于多元化。

Lazarus 组织曾发动多起重大网络攻击，包括 2017 年 WannaCry 勒索软件爆发、2016 年孟加拉银行劫案及 2022 年 Ronin Bridge 加密货币盗窃案。其将攻击目标扩展至医疗及中东基础设施等关键领域，引发外界对该组织适应能力及网络安全防御广泛影响的担忧。

影响分析

医疗机构成为攻击目标尤为令人担忧，因该行业极易受到运营中断影响，且患者数据高度敏感。即使攻击未遂，亦可能成为未来攻击的侦察行动，进而导致数据泄露、财务损失或服务中断。中东地区作为国家支持的威胁行为体日益频繁的攻击目标，面临的风险不断加剧，地缘政治紧张局势亦推动网络战升级。

对安全团队而言，此次事件凸显了加强监测与勒索软件相关 TTPs 的必要性，尤其是与**高级持续性威胁（APT）**组织相关的攻击手法。鉴于 Lazarus 组织的高度复杂性，防御者应优先采取以下措施：

• 部署**端点检测与响应（EDR）**解决方案，以识别异常行为。
• 实施网络分段，限制入侵后的横向移动。
• 定期备份并采用不可变存储，降低勒索软件影响。
• 加强威胁情报共享，应对新兴攻击向量。

组织应对建议

1. 补丁管理：确保所有系统及时更新，修复已知漏洞，特别是 Lazarus 组织曾利用的漏洞（如 CVE-2023-42793、CVE-2022-47966）。
2. 用户培训：开展钓鱼模拟演练及安全意识培训，降低通过社会工程学手段获取初始访问权限的风险。
3. 事件响应规划：制定并测试针对勒索软件的应急预案，最大限度减少停机时间及数据损失。
4. 零信任架构：实施最小权限访问及多因素认证（MFA），强化针对基于凭证攻击的防御。

随着 Lazarus 组织不断优化其战术，高风险行业的组织必须保持警惕。国家支持的 APT 组织与勒索软件攻击的融合，凸显了采取主动、情报驱动的安全态势的必要性。