北韓Lazarus集團結盟Medusa勒索軟體，鎖定醫療與社會服務機構

2026 / 02 / 26

編輯部

資安業者 Symantec 與 Carbon Black 威脅獵捕團隊近期披露，北韓國家支持的駭客組織 Lazarus Group 已開始在攻擊行動中部署 Medusa 勒索軟體。攻擊目標遍及中東地區的大型企業，並嘗試入侵美國醫療機構。雖然後者的攻擊未能成功，但這起事件清楚說明：國家級威脅行為者正大量借助成熟的商業網路犯罪工具，藉此混淆身份、規避追蹤。

閱讀更多：美國CISA示警Medusa勒索軟體已攻擊超過300家關鍵基礎設施組織

北韓駭客轉型：從情報竊取走向商業勒索

Lazarus Group 長期以針對加密貨幣交易所、能源產業及金融機構的攻擊聞名，目標兼具情報蒐集與財務掠奪。此次與 Medusa 合作，標誌著該組織在直接獲利策略上的進一步深化。

Symantec 分析師 Dick O'Brien 指出，中東受害組織屬於大型企業，「並未涉及具戰略價值的產業或智慧財產，研判此次攻擊純粹以財務利益為驅動。」目前尚無法確認 Lazarus 旗下哪個子組織主導這批攻擊。報告指出，攻擊所用的戰術手法(TTPs)與 Stonefly 子組織相近，但使用的後門程式 Comebacker 過去則與另一子組織 Diamond Sleet 相關聯。

Medusa 勒索軟體自 2023 年現身以來，已攻陷超過 300 個目標，包括 Comcast 與 NASCAR。該組織最初採封閉式運作，2024 年起轉型為勒索軟體即服務(RaaS)模式，讓聯盟成員使用其工具並按比例分潤。Lazarus 加入此生態系後，不僅取得現成的攻擊基礎設施，更能將行動隱匿在一般網路犯罪組織之下，大幅提高歸因難度。

延伸閱讀：轉型為勒索服務營運後，梅杜莎集團攻擊量大幅攀升

多階段攻擊鏈：勒索只是最後一步

根據 Symantec 的技術分析，Lazarus 的攻擊流程設計縝密，部署勒索軟體僅是入侵週期的最後一步。攻擊者首先拆解目標系統的本地資安防護，接著植入自製後門程式(包括遠端存取木馬 Blindingcan 與後門 Comebacker)，藉此在受害網路中建立持久立足點。

接著，攻擊者部署憑證竊取工具 ChromeStealer 與滲透測試工具 Mimikatz，大規模蒐集系統密碼。另一工具 Infohook 則負責掃描並整理敏感資料，為後續外洩做準備。在資料傳輸階段，攻擊者透過 RP_Proxy 在內網路由流量以降低可疑跡象，再利用命令列工具 Curl 將檔案回傳至自家伺服器。待完全掌控網路並完成資料竊取後，才啟動 Medusa 勒索軟體執行加密。

值得注意的是，研究人員並未發現 Lazarus 使用 Medusa 慣用的自帶有漏洞驅動程式(BYOVD)技術來關閉端點偵測與回應(EDR)工具。這顯示 Lazarus 僅採用 Medusa 的加密酬載(Payload)，其餘工具仍使用自家武器庫。

鎖定社會弱勢機構，贖金策略精算

目標選擇反映出明確的策略邏輯。Medusa 資料外洩網站近期公布的美國受害者，包括一家心理健康非營利組織及一所服務自閉症兒童的學校。這類提供基本社會服務的機構往往資安預算有限、應變能力不足，卻又必須盡快恢復運作。

贖金要求平均約為 26 萬美元（約新台幣 850 萬元），金額精心設定在「足以獲取可觀利潤，又低到讓走投無路的機構願意考慮支付」的微妙區間。研究人員指出，部分網路犯罪集團宣稱為維護聲譽而避免攻擊醫療機構，但 Lazarus 顯然毫無此類顧慮。

北韓駭客與勒索組織聯手並非首例

Lazarus 與商業勒索集團合作並非首例。2024 年 10 月，Palo Alto Networks Unit 42 披露，另一北韓駭客組織 Jumpy Pisces（又名 Onyx Sleet、Andariel，即曾入侵 HBO 的「和平守護者」APT 組織與 Play 勒索軟體集團聯手行動。攻擊者利用開源滲透框架 Sliver 及自製惡意軟體 DTrack 在網路中橫向移動並維持持久性。

此次 Medusa 事件進一步確立了一個趨勢：國家級駭客正系統性地將商業勒索軟體生態系納入工具箱，同時達成財務收益與模糊攻擊歸因兩大目的。