Ранее неизвестный северокорейский злоумышленник под кодовым именем Moonstone Sleet был обвинен в кибератаках на отдельных лиц и организации в сфере программного обеспечения и информационных технологий, образования и оборонно-промышленного комплекса с использованием программ-вымогателей и специально созданных вредоносных программ, ранее связанных с печально известной группой Lazarus.
"Замечено, что Moonstone Sleet создает поддельные компании и рабочие места для взаимодействия с потенциальными целями, использует троянские версии законных инструментов, создает вредоносную игру и поставляет новое пользовательское программное обеспечение-вымогатель", - сказала команда Microsoft Threat Intelligence в новом анализе.
Компания также охарактеризовала субъекта угрозы как использующего комбинацию испытанных методов, используемых другими северокорейскими участниками угрозы, и уникальных методологий атак для достижения своих стратегических целей.
Противник, до сих пор отслеживаемый Redmond под появляющимся групповым псевдонимом Storm-1789, оценивается как государственная группа, которая первоначально демонстрировала сильное тактическое совпадение с Lazarus Group (она же Diamond Sleet), прежде чем установить свою собственную индивидуальность с помощью отдельной инфраструктуры и ремесел.
Сходство с Lazarus включает в себя широкое повторное использование кода известных вредоносных программ, таких как Comebacker, которое впервые было замечено в январе 2021 года в связи с кампанией, нацеленной на исследователей безопасности, работающих над исследованиями и разработками уязвимостей.
Comebacker был использован группой Lazarus совсем недавно, в феврале этого года, внедрив его в кажущиеся безобидными пакеты Python и npm для установления контакта с сервером командования и управления (C2) для получения дополнительных полезных данных.
Известно также, что для достижения своих разнообразных целей Moonstone Sleet работает на должностях разработчиков программного обеспечения в нескольких законных компаниях, вероятно, в попытке получить незаконный доход для страны, пострадавшей от санкций, или получить скрытый доступ к организациям.
Цепочки атак, наблюдавшиеся в августе 2023 года, включали использование модифицированной версии PuTTY – тактики, принятой Lazarus Group в конце 2022 года в рамках операции Dream Job – через LinkedIn и Telegram, а также платформы фриланса для разработчиков.
"Часто злоумышленник отправлял целям .ZIP-архив, содержащий два файла: троянскую версию putty.exe и url.txt, которая содержала IP-адрес и пароль", - сказали в Microsoft. "Если бы указанный IP-адрес и пароль были введены пользователем в приложение PuTTY, приложение расшифровало бы встроенную полезную нагрузку, затем загрузило бы и выполнило ее".
Троянский исполняемый файл PuTTY предназначен для удаления пользовательского установщика, получившего название SplitLoader, который инициирует последовательность промежуточных этапов, чтобы в конечном итоге запустить троянский загрузчик, отвечающий за выполнение переносимого исполняемого файла, полученного с сервера C2.
Альтернативные последовательности атак повлекли за собой использование вредоносных пакетов npm, которые доставлялись через LinkedIn или веб -сайты фрилансеров, часто маскируясь для отправки под поддельную компанию .ZIP-файлы, вызывающие вредоносный пакет npm под видом оценки технических навыков.
Эти пакеты npm настроены для подключения к IP-адресу, контролируемому участником, и удаления полезных нагрузок, аналогичных SplitLoader, или для облегчения кражи учетных данных из процесса подсистемы локальной безопасности Windows (LSASS).
Стоит отметить, что нацеливание на разработчиков npm, использующих поддельные пакеты, было связано с кампанией, ранее задокументированной подразделением Palo Alto Networks 42 под названием "Заразное интервью" (он же DEV #POPPER). Microsoft отслеживает активность под именем Storm-1877.
Мошеннические пакеты npm также были средством доставки вредоносного ПО для другой связанной с Северной Кореей группы под кодовым названием Jade Sleet (также известной как TraderTraitor и UNC4899), которая была причастна к прошлогоднему взлому JumpCloud.
В других атаках, обнаруженных Microsoft с февраля 2024 года, использовалась вредоносная танковая игра под названием DeTankWar (она же DeFiTankWar, DeTankZone и TankWarsZone), которая распространяется среди целей по электронной почте или платформам обмена сообщениями, обеспечивая при этом уровень легитимности путем создания поддельных веб-сайтов и учетных записей на X (ранее Twitter).
"Moonstone Sleet обычно обращается к своим целям через платформы обмена сообщениями или по электронной почте, представляя себя разработчиком игр, ищущим инвестиций или поддержки разработчиков, и либо маскируясь под законную блокчейн-компанию, либо используя поддельные компании", - заявили исследователи Microsoft.
"Moonstone Sleet использовал поддельную компанию под названием C.C. Waterfall для связи с целями. В электронном письме игра представлялась как проект, связанный с блокчейном, и адресату предлагалась возможность сотрудничества, при этом ссылка для загрузки игры была включена в текст сообщения."
Предполагаемая игра ("delfi-tank-unity.exe") оснащена загрузчиком вредоносных программ, называемым YouieLoad, который способен загружать полезные данные следующего этапа в память и создавать вредоносные службы для обнаружения сети и пользователей, а также сбора данных браузера.
Еще одна несуществующая компания – с пользовательским доменом, поддельными личностями сотрудников и аккаунтами в социальных сетях, – созданная Moonstone Sleet для своих кампаний социальной инженерии, - это StarGlow Ventures, которая выдавала себя за законную компанию по разработке программного обеспечения, чтобы привлечь потенциальных клиентов к совместной работе над проектами, связанными с веб-приложениями, мобильными приложениями, блокчейном и искусственным интеллектом.
Хотя окончание этой кампании, которая проходила с января по апрель 2024 года, неясно, тот факт, что в электронные сообщения был встроен пиксель отслеживания, повышает вероятность того, что он мог использоваться как часть мероприятия по укреплению доверия и определению того, кто из получателей взаимодействовал с электронными письмами для получения будущих доходов.
Последним инструментом в арсенале злоумышленника является пользовательский вариант программы-вымогателя под названием FakePenny, который был обнаружен развернут против неназванной оборонной технологической компании в апреле 2024 года в обмен на выкуп в биткоинах в размере 6,6 миллиона долларов.
Использование программ-вымогателей - это еще одна тактика, взятая прямо из учебника Андариэля (он же Onyx Sleet), подгруппы, действующей под эгидой Lazarus umbrella, известной такими семействами программ-вымогателей, как H0lyGh0st и Maui.
В дополнение к принятию необходимых мер безопасности для защиты от атак со стороны субъекта угрозы, Редмонд призывает компании-разработчики программного обеспечения быть начеку при атаках на цепочки поставок, учитывая склонность северокорейских хакерских групп отравлять цепочки поставок программного обеспечения для проведения широкомасштабных вредоносных операций.
"Разнообразный набор тактик Moonstone Sleet примечателен не только своей эффективностью, но и тем, как они отличались от тактик нескольких других северокорейских участников угрозы за многие годы деятельности по достижению северокорейских кибер-целей", - говорится в сообщении компании.
Раскрытие произошло после того, как Южная Корея обвинила своего северного партнера, в частности Lazarus Group, в краже 1014 гигабайт данных и документов, таких как имена, регистрационные номера резидентов и финансовые отчеты, из судебной сети с 7 января 2021 года по 9 февраля 2023 года, сообщила Korea JoongAng Daily ранее в этом месяце.
"Замечено, что Moonstone Sleet создает поддельные компании и рабочие места для взаимодействия с потенциальными целями, использует троянские версии законных инструментов, создает вредоносную игру и поставляет новое пользовательское программное обеспечение-вымогатель", - сказала команда Microsoft Threat Intelligence в новом анализе.
Компания также охарактеризовала субъекта угрозы как использующего комбинацию испытанных методов, используемых другими северокорейскими участниками угрозы, и уникальных методологий атак для достижения своих стратегических целей.
Противник, до сих пор отслеживаемый Redmond под появляющимся групповым псевдонимом Storm-1789, оценивается как государственная группа, которая первоначально демонстрировала сильное тактическое совпадение с Lazarus Group (она же Diamond Sleet), прежде чем установить свою собственную индивидуальность с помощью отдельной инфраструктуры и ремесел.
Сходство с Lazarus включает в себя широкое повторное использование кода известных вредоносных программ, таких как Comebacker, которое впервые было замечено в январе 2021 года в связи с кампанией, нацеленной на исследователей безопасности, работающих над исследованиями и разработками уязвимостей.
Comebacker был использован группой Lazarus совсем недавно, в феврале этого года, внедрив его в кажущиеся безобидными пакеты Python и npm для установления контакта с сервером командования и управления (C2) для получения дополнительных полезных данных.
Известно также, что для достижения своих разнообразных целей Moonstone Sleet работает на должностях разработчиков программного обеспечения в нескольких законных компаниях, вероятно, в попытке получить незаконный доход для страны, пострадавшей от санкций, или получить скрытый доступ к организациям.
Цепочки атак, наблюдавшиеся в августе 2023 года, включали использование модифицированной версии PuTTY – тактики, принятой Lazarus Group в конце 2022 года в рамках операции Dream Job – через LinkedIn и Telegram, а также платформы фриланса для разработчиков.
"Часто злоумышленник отправлял целям .ZIP-архив, содержащий два файла: троянскую версию putty.exe и url.txt, которая содержала IP-адрес и пароль", - сказали в Microsoft. "Если бы указанный IP-адрес и пароль были введены пользователем в приложение PuTTY, приложение расшифровало бы встроенную полезную нагрузку, затем загрузило бы и выполнило ее".
Троянский исполняемый файл PuTTY предназначен для удаления пользовательского установщика, получившего название SplitLoader, который инициирует последовательность промежуточных этапов, чтобы в конечном итоге запустить троянский загрузчик, отвечающий за выполнение переносимого исполняемого файла, полученного с сервера C2.
Альтернативные последовательности атак повлекли за собой использование вредоносных пакетов npm, которые доставлялись через LinkedIn или веб -сайты фрилансеров, часто маскируясь для отправки под поддельную компанию .ZIP-файлы, вызывающие вредоносный пакет npm под видом оценки технических навыков.
Эти пакеты npm настроены для подключения к IP-адресу, контролируемому участником, и удаления полезных нагрузок, аналогичных SplitLoader, или для облегчения кражи учетных данных из процесса подсистемы локальной безопасности Windows (LSASS).
Стоит отметить, что нацеливание на разработчиков npm, использующих поддельные пакеты, было связано с кампанией, ранее задокументированной подразделением Palo Alto Networks 42 под названием "Заразное интервью" (он же DEV #POPPER). Microsoft отслеживает активность под именем Storm-1877.
Мошеннические пакеты npm также были средством доставки вредоносного ПО для другой связанной с Северной Кореей группы под кодовым названием Jade Sleet (также известной как TraderTraitor и UNC4899), которая была причастна к прошлогоднему взлому JumpCloud.
В других атаках, обнаруженных Microsoft с февраля 2024 года, использовалась вредоносная танковая игра под названием DeTankWar (она же DeFiTankWar, DeTankZone и TankWarsZone), которая распространяется среди целей по электронной почте или платформам обмена сообщениями, обеспечивая при этом уровень легитимности путем создания поддельных веб-сайтов и учетных записей на X (ранее Twitter).
"Moonstone Sleet обычно обращается к своим целям через платформы обмена сообщениями или по электронной почте, представляя себя разработчиком игр, ищущим инвестиций или поддержки разработчиков, и либо маскируясь под законную блокчейн-компанию, либо используя поддельные компании", - заявили исследователи Microsoft.
"Moonstone Sleet использовал поддельную компанию под названием C.C. Waterfall для связи с целями. В электронном письме игра представлялась как проект, связанный с блокчейном, и адресату предлагалась возможность сотрудничества, при этом ссылка для загрузки игры была включена в текст сообщения."
Предполагаемая игра ("delfi-tank-unity.exe") оснащена загрузчиком вредоносных программ, называемым YouieLoad, который способен загружать полезные данные следующего этапа в память и создавать вредоносные службы для обнаружения сети и пользователей, а также сбора данных браузера.
Еще одна несуществующая компания – с пользовательским доменом, поддельными личностями сотрудников и аккаунтами в социальных сетях, – созданная Moonstone Sleet для своих кампаний социальной инженерии, - это StarGlow Ventures, которая выдавала себя за законную компанию по разработке программного обеспечения, чтобы привлечь потенциальных клиентов к совместной работе над проектами, связанными с веб-приложениями, мобильными приложениями, блокчейном и искусственным интеллектом.
Хотя окончание этой кампании, которая проходила с января по апрель 2024 года, неясно, тот факт, что в электронные сообщения был встроен пиксель отслеживания, повышает вероятность того, что он мог использоваться как часть мероприятия по укреплению доверия и определению того, кто из получателей взаимодействовал с электронными письмами для получения будущих доходов.
Последним инструментом в арсенале злоумышленника является пользовательский вариант программы-вымогателя под названием FakePenny, который был обнаружен развернут против неназванной оборонной технологической компании в апреле 2024 года в обмен на выкуп в биткоинах в размере 6,6 миллиона долларов.
Использование программ-вымогателей - это еще одна тактика, взятая прямо из учебника Андариэля (он же Onyx Sleet), подгруппы, действующей под эгидой Lazarus umbrella, известной такими семействами программ-вымогателей, как H0lyGh0st и Maui.
В дополнение к принятию необходимых мер безопасности для защиты от атак со стороны субъекта угрозы, Редмонд призывает компании-разработчики программного обеспечения быть начеку при атаках на цепочки поставок, учитывая склонность северокорейских хакерских групп отравлять цепочки поставок программного обеспечения для проведения широкомасштабных вредоносных операций.
"Разнообразный набор тактик Moonstone Sleet примечателен не только своей эффективностью, но и тем, как они отличались от тактик нескольких других северокорейских участников угрозы за многие годы деятельности по достижению северокорейских кибер-целей", - говорится в сообщении компании.
Раскрытие произошло после того, как Южная Корея обвинила своего северного партнера, в частности Lazarus Group, в краже 1014 гигабайт данных и документов, таких как имена, регистрационные номера резидентов и финансовые отчеты, из судебной сети с 7 января 2021 года по 9 февраля 2023 года, сообщила Korea JoongAng Daily ранее в этом месяце.
