朝鲜APT组织Lazarus利用Medusa勒索软件攻击美国医疗机构

朝鲜APT组织针对美国医疗机构部署Medusa勒索软件

安全研究人员近期将一系列针对美国医疗机构的勒索软件攻击归因于Lazarus Group（朝鲜政府支持的高级威胁组织）。该组织正在部署Medusa勒索软件开展勒索活动，标志着其网络犯罪行动的严重升级。

攻击关键细节

• 威胁组织：Lazarus Group（又称APT38、Hidden Cobra）
• 攻击目标：美国医疗机构
• 恶意软件：Medusa勒索软件（勿与MedusaLocker混淆）
• 攻击动机：通过勒索获取经济利益
• 归因依据：多家网络安全公司确认

技术分析

Lazarus Group以其高级持续性威胁（APT）能力著称，历史上曾专注于金融盗窃、间谍活动及破坏性攻击。此次使用Medusa勒索软件，标志着该组织战术转向直接勒索，与其为朝鲜政权创收的更广泛目标保持一致。

Medusa勒索软件于2021年首次被发现，是一种RaaS（勒索软件即服务）变种，能加密受害者数据并要求以加密货币支付赎金。虽然其部署规模不及其他勒索软件家族，但由国家支持的威胁组织使用该软件，引发了对双重勒索风险的担忧——即攻击者在加密前窃取数据，进一步向受害者施压。

安全研究人员指出，Lazarus Group可能通过钓鱼攻击或利用面向公众系统的未修补漏洞（如CVE-2023-XXXX）获取初始访问权限。一旦进入网络，该组织会采用**Living-off-the-Land（LotL）**技术，利用合法工具（如PowerShell和PsExec）进行横向移动并部署勒索软件。

医疗机构面临的影响

针对美国医疗机构的攻击尤为令人担忧，原因包括：

• 关键基础设施风险：医疗服务中断可能危及生命安全。
• 数据敏感性：患者病历和医疗数据在暗网上具有极高价值。
• 合规风险：数据泄露可能导致HIPAA违规，并面临巨额罚款。

防御建议

医疗行业的安全团队应优先采取以下缓解措施：

1. 补丁管理：及时修补面向公众系统的已知漏洞（如CVE-2023-XXXX）。
2. 反钓鱼培训：培训员工识别并报告可疑邮件。
3. 终端检测：部署EDR/XDR解决方案，检测LotL技术。
4. 网络分段：通过隔离关键系统限制横向移动。
5. 备份策略：维护离线加密备份，以应对勒索软件攻击。

结论

将Medusa勒索软件攻击归因于Lazarus Group，凸显了国家支持的网络犯罪组织构成的日益严重的威胁。医疗机构必须保持警惕，采用纵深防御策略，以应对来自经济利益驱动和国家支持的威胁组织的风险。

更多详情，请参阅BleepingComputer原报告。