Un actor de amenințări nemaivăzut din Coreea de Nord, numit de cod Moonstone Sleet, a fost atribuit ca în spatele atacurilor cibernetice care vizează indivizi și organizații din sectoarele software și tehnologiei informației, educație și baze industriale de apărare, cu ransomware și malware personalizat asociat anterior cu infamul Lazarus Group. .

„Se observă că Moonstone Sleet creează companii false și oportunități de angajare pentru a se implica cu potențiale ținte, a folosi versiuni troiene ale instrumentelor legitime, a crea un joc rău intenționat și a furniza un nou ransomware personalizat”, a spus echipa Microsoft Threat Intelligence într-o nouă analiză.

De asemenea, a caracterizat actorul amenințării ca utilizând o combinație de tehnici testate și adevărate utilizate de alți actori nord-coreeni ai amenințărilor și metodologii unice de atac pentru a-și îndeplini obiectivele strategice.

Adversarul, urmărit până acum de Redmond sub numele de cluster emergent Storm-1789, este evaluat a fi un grup aliniat la stat care a prezentat inițial suprapuneri tactice puternice cu Grupul Lazarus (alias Diamond Sleet), înainte de a-și stabili propria identitate distinctă printr-o infrastructură separată. și meșteșuguri.

Asemănările cu Lazarus includ reutilizarea extensivă a codului din malware cunoscut, cum ar fi Comebacker , care a fost observat pentru prima dată în ianuarie 2021 în legătură cu o campanie care vizează cercetătorii de securitate care lucrează la cercetarea și dezvoltarea vulnerabilităților.

Comebacker a fost folosit de Grupul Lazarus chiar în februarie, încorporându-l în pachete Python și npm aparent inofensive pentru a stabili contactul cu un server de comandă și control (C2) pentru a prelua încărcături suplimentare.

 

Pentru a-și susține diversele obiective, Moonstone Sleet este, de asemenea, cunoscut că urmărește angajare în posturi de dezvoltare de software la mai multe companii legitime, probabil în încercarea de a genera venituri ilicite pentru țara lovită de sancțiuni sau de a obține acces ascuns la organizații.

Lanțurile de atac observate în august 2023 au implicat utilizarea unei versiuni modificate a PuTTY – o tactică adoptată de Grupul Lazarus la sfârșitul anului 2022, ca parte a Operation Dream Job – prin LinkedIn și Telegram, precum și prin platformele de dezvoltare independentă.

„Adesea, actorul a trimis ținte o arhivă .ZIP care conține două fișiere: o versiune troianizată a putty.exe și url.txt, care conținea o adresă IP și o parolă”, a spus Microsoft. „Dacă IP-ul și parola furnizate au fost introduse de către utilizator în aplicația PuTTY, aplicația ar decripta o încărcare utilă încorporată, apoi ar încărca și o va executa.”

Executabilul troian PuTTY este proiectat pentru a elimina un program de instalare personalizat numit SplitLoader care inițiază o secvență de etape intermediare pentru a lansa în cele din urmă un încărcător troian care este responsabil pentru executarea unui executabil portabil primit de la un server C2.

Secvențele alternative de atac au presupus folosirea pachetelor npm rău intenționate care sunt livrate prin LinkedIn sau site-uri web independente, deseori mascandu-se ca o companie falsă pentru a trimite fișiere .ZIP care invocă un pachet npm rău intenționat sub masca unei evaluări a competențelor tehnice.

Aceste pachete npm sunt configurate să se conecteze la o adresă IP controlată de actor și să renunțe la încărcături utile similare cu SplitLoader sau să faciliteze furtul de acreditări din procesul Windows Local Security Authority Subsystem Service ( LSASS ).

Este demn de remarcat faptul că țintirea dezvoltatorilor npm care utilizează pachete contrafăcute a fost asociată cu o campanie documentată anterior de Unitatea 42 Palo Alto Networks sub numele Contagious Interview (alias DEV#POPPER ). Microsoft urmărește activitatea sub numele Storm-1877.

Pachetele rogue npm au fost, de asemenea, un vector de livrare de malware pentru un alt grup legat de Coreea de Nord, numit de cod Jade Sleet (alias TraderTraitor și UNC4899), care a fost implicat în hack-ul JumpCloud de anul trecut.

Alte atacuri detectate de Microsoft din februarie 2024 au folosit un joc de tancuri rău intenționat numit DeTankWar (alias DeFiTankWar, ​​DeTankZone și TankWarsZone) care este distribuit către ținte prin e-mail sau platforme de mesagerie, oferind în același timp un strat de legitimitate prin crearea de site-uri și conturi false pe X. (fostul Twitter).

„Moonstone Sleet își abordează în mod obișnuit obiectivele prin intermediul platformelor de mesagerie sau prin e-mail, prezentându-se ca un dezvoltator de jocuri care caută investiții sau sprijin pentru dezvoltatori și fie prefăcându-se ca o companie blockchain legitimă, fie folosind companii false”, au spus cercetătorii Microsoft.

„Moonstone Sleet a folosit o companie falsă numită CC Waterfall pentru a contacta ținte. E-mailul a prezentat jocul ca un proiect legat de blockchain și a oferit țintei posibilitatea de a colabora, cu un link pentru a descărca jocul inclus în corpul mesajului”.

Pretinsul joc (“delfi-tank-unity.exe”) este echipat cu un încărcător de malware denumit YouieLoad, care este capabil să încarce în memorie încărcături utile din etapa următoare și să creeze servicii rău intenționate pentru descoperirea rețelei și a utilizatorilor și colectarea datelor din browser.

 

O altă companie inexistentă – completă cu un domeniu personalizat, persoane false ale angajaților și conturi de rețele sociale – creată de Moonstone Sleet pentru campaniile sale de inginerie socială este StarGlow Ventures, care s-a mascarat ca o companie legitimă de dezvoltare de software pentru a ajunge la ținte potențiale pentru colaborare. pe proiecte legate de aplicații web, aplicații mobile, blockchain și AI.

Deși sfârșitul acestei campanii, care a avut loc din ianuarie până în aprilie 2024, este neclar, faptul că mesajele de e-mail au fost încorporate cu un pixel de urmărire ridică posibilitatea ca acesta să fi fost utilizat ca parte a unui exercițiu de consolidare a încrederii și să determine care dintre destinatari s-a angajat cu e-mailurile pentru oportunități viitoare de generare de venituri.

Cel mai recent instrument din arsenalul adversarului este o variantă de ransomware personalizat numită FakePenny, care a fost găsită implementată împotriva unei companii de tehnologie de apărare fără nume în aprilie 2024, în schimbul unei răscumpări de 6,6 milioane de dolari în Bitcoin.

Utilizarea ransomware-ului este o altă tactică scoasă direct din manualul lui Andariel (alias Onyx Sleet), un subgrup care operează în cadrul umbrelei Lazarus, cunoscut pentru familiile de ransomware precum H0lyGh0st și Maui .

Pe lângă adoptarea măsurilor de securitate necesare pentru a se apăra împotriva atacurilor din partea actorului amenințării, Redmond îndeamnă companiile de software să fie atent la atacurile lanțului de aprovizionare, având în vedere înclinația actorilor nord-coreeni de a otrăvi lanțul de aprovizionare cu software pentru a efectua operațiuni rău intenționate pe scară largă.

„Setul divers de tactici al lui Moonstone Sleet este remarcabil nu numai datorită eficacității lor, ci și datorită modului în care au evoluat față de cele ale altor câțiva actori nord-coreeni de amenințări de-a lungul multor ani de activitate pentru a îndeplini obiectivele cibernetice nord-coreene”, a spus compania.

Dezvăluirea vine în momentul în care Coreea de Sud și-a acuzat omologul său nordic, în special Grupul Lazarus, că a furat 1.014 gigaocteți de date și documente, cum ar fi nume, numere de înregistrare a rezidenților și înregistrări financiare dintr-o rețea de instanțe din 7 ianuarie 2021 până în 9 februarie 2023. , a raportat Korea JoongAng Daily la începutul acestei luni.