【精選威脅情資】北韓國家資助型駭客使用勒索軟體 Maui 鎖定衛生保健與公共健康產業

‍

本文由奧義智慧 (CyCraft) 與資安卓越中心規劃建置計畫 (CCoE) 共同發布。

‍

危害與影響

美國聯邦調查局 (The Federal Bureau of Investigation, FBI)、網路安全暨基礎架構安全署 (Cybersecurity and Infrastructure Security Agency, CISA)、美國財政部 (Department of the Treasury) 發布聯合警報AA22–187A，分析勒索軟體 Maui 的活動，顯示該勒索軟體對於全美國的高危險性。而且值得注意的是，雖然有些勒索軟體為顧及人民的生命安全，不會鎖定衛生保健與公共健康組織，但勒索軟體 Maui 顯然不在此列，該勒索軟體特別鎖定安全措施薄弱、服務具有緊急性的健康安全產業，以趁勢獲得高額的贖金，因此醫療、健保相關單位應該特別注意勒索軟體 Maui 的技術與動向。

分析師觀點

由美國三大政府單位發布的聯合警報 AA22–187A 中，勒索軟體 Maui 有兩點特別值得注意：其一，與由網路犯罪組織開發的勒索病毒即服務 (Ransomware as a Service, RaaS) 不同，Maui 有高度可能性為北韓政府資助的駭客開發而成。這使得 Maui 具有以下特色 — — 非完全自動化、高度仰賴人為操作，以彈性地入侵受害目標。其次，Maui 會特別鎖定公共健康組織，因為這類組織提供的服務具有緊急性，因此較有可能屈服於駭客的威脅，盡速支付贖金以換取服務的回復。而且這類組織通常較不會在資安防護上投資資源，使駭客能輕易入侵。從勒索軟體 Maui 的特性來看，健康醫療事業單位的資安同樣刻不容緩。

描述

美國聯邦調查局 (The Federal Bureau of Investigation, FBI)、網路安全暨基礎架構安全署 (Cybersecurity and Infrastructure Security Agency, CISA) 和美國財政部 (Department of the Treasury) 發布聯合警報 AA22–187A，警告有關單位需格外注意勒索軟體 Maui 所帶來的威脅。該勒索軟體應由北韓政府資助的利益導向駭客組織開發而成，自 2021 年五月以來主要鎖定健保與公共健康產業。

技術分析

自從 2021 年五月開始，許多醫療院所與健康服務機構 (Hospitals & Health Services, HPH) 被勒索軟體 Maui 鎖定，而且被攻擊、加密的伺服器多半負責處理電子健康紀錄、診斷服務、醫事檢驗服務與內網系統。FBI參與了其中幾起資安事件的處理，並找到勒索軟體 Maui 的惡意程式樣本 — — SHA256: 5b7ecf7e9d0715f1122baf4ce745c5fcd769dee48150616753fec4d6da16e99e。該樣本似乎是一個高度仰賴人為操作的加密程式，理由有三：其一，這隻勒索軟體與其他勒索軟體不同，沒有辦法留下事前寫好的勒索訊息。其二，這隻勒索軟體樣本執行時，會顯示出操作的指引資訊。

‍

‍

其三，Maui 不會自動搜尋檔案來加密，而是由程式引數 (Argument) 提供要被加密的檔案。因此攻擊者可能是遠端使用其他遠端存取木馬 (RAT) 工具以先進入受害者的環境，再以命令列工具手動執行勒索軟體樣本。這一點同樣顯示了精細的勒索軟體即服務 (Ransomware as a service, RaaS) 類型的勒索軟體以及國家資助型攻擊者開發的勒索軟體，兩者間的差異。

勒索軟體Maui採用三層次的加密方案。在第一層次，攻擊者會利用進階加密標準 (Advanced Encryption Standard, AES) 和一個獨特的 32-byte 金鑰來加密每個檔案。AES 金鑰是透過 RAND_bytes() 連結一個固定的「dogd」字串和一個 28-bytes 的隨機數字。在第二層次，AES檔案加密金鑰會被Maui執行時產出的 runtime RSA 金鑰再次加密。而被加密的 AES 檔案會被嵌入客製化的標頭中，而該標頭會放在被加密檔案的前面。最後，在第三層次，被嵌入在 Maui binary 最尾端的寫死的RSA公鑰會被用來加密 runtime RSA 金鑰。

‍

‍

‍

整個加密流程完成後，會產生兩個檔案。

• maui.evd：runtime RSA私鑰。以寫死的公鑰加密而成。
• maui.key： runtime RSA公鑰。以硬碟資訊生成的XOR金鑰編碼而成。

緩解措施

勒索軟體 Maui 雖然來勢洶洶，但多項措施可以有效緩解其威脅：

1. 有關單位可以參考 FBI、CISA 和美國財政部所發布的這份警報。該報告揭露了 Maui 的戰術、技術與程序 (Terrorist Tactics, Techniques, and Procedures, TTPs)，並依此制定防禦機制、評估並審核資安設備的表現。
2. 同樣的，該報告中的入侵指標 (Indicator of Compromise, IoCs) 可用來確認系統是否有被入侵的跡象。組織機構可以將入侵指標餵入端點或網路安全設備，獵捕或阻擋威脅。
3. 除此之外，可以部署應用程式控制軟體限制使用者可以使用的應用程式。
4. 採用多重要素驗證 (Multi-Factor Authentication) 機制，並實行最小權限原則。例如在組織系統內使用標準的使用者帳戶而非管理者帳戶，避免駭客拿到管理者帳戶而獲得過大的管理權限。
5. 定期維護資料的離線備份、測試備份與還原。

參考資料

1. ‍CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY. “North Korean State-Sponsored Cyber Actors Use Maui Ransomware to Target the Healthcare and Public Health Sector”‍
2. Stairwell Threat Report. ”Threat report: Maui ransomware”