据微软观察,朝鲜黑客组织Moonstone Sleet与勒索软件FakePenny的网络攻击相关联,案件涉及数百万美元。
尽管该黑客组织的战术、技术和程序(TTPs)在很大程度上与其他朝鲜攻击者重叠,但他们也在持续采用新颖的攻击方法,使用自主开发的基础设施和工具。
此前追踪的Moonstone Sleet组织Storm-17已被观察到使用木马化软件(例如PuTTY)、恶意游戏和npm软件包、自定义恶意软件加载器,以及虚假的软件开发公司(如StarGlow Ventures和C.C. Waterfall)对金融和网络间谍目标进行攻击。他们通过LinkedIn、Telegram、自由职业网络或电子邮件与潜在受害者互动。
微软表示:“在首次检测到Moonstone Sleet活动时,我们发现该组织与Diamond Sleet表现出很大的重叠性。Moonstone Sleet重复使用Diamond Sleet恶意软件(如Comebacker)的代码,同时使用成熟的Diamond Sleet技术获取对组织的访问权限,例如通过社交媒体传递木马化软件。”
“然而,Moonstone Sleet很快转变为使用自主开发的基础设施和攻击方式。随后,微软观察到Moonstone Sleet和Diamond Sleet同时行动,其中Diamond Sleet仍在大量使用此前已知的成熟技术手段。”
Moonstone Sleet PuTTY 攻击流程
朝鲜黑客与勒索软件相关
在黑客入侵受害者网络的两个月后,即今年四月,我们首次发现黑客部署了新的定制 FakePenny 勒索软件变种。
然而,与之前朝鲜国家黑客协调的勒索软件攻击不同,此前受害者被朝鲜黑客要求支付10万美元的赎金,而Moonstone Sleet攻击者要求支付660万美元的比特币。
微软对此次攻击的评估结论为:Moonstone Sleet部署勒索软件的主要动机是获取经济利益。而此前该组织参与的网络间谍攻击也表明,他们的攻击旨在创收和收集情报。
自首次观察到该组织的行动以来,Moonstone Sleet已针对多个行业发起攻击,
包括软件和信息技术、教育以及国防工业基地部门的个人和组织。
FakePenny 勒索软件的留言截图
Moonstone Sleet并不是近年来第一个与勒索软件攻击有关联的朝鲜黑客组织。此前,美国和英国政府正式将 2017 年 5 月勒索软件 WannaCry 危害全球数十万台电脑这一事件归咎于 Lazarus Group。
2022年7月,微软和FBI也分别将朝鲜黑客与勒索软件Holy Ghost的行动、勒索软件Maui针对医疗机构的攻击联系起来。
微软补充道:“Moonstone Sleet 的各种战术之所以引人注目,不仅是因为它们十分有效,还因为它们是从其他朝鲜黑客多年来为实现朝鲜网络目标而开展的活动中演变而来的。此外,Moonstone Sleet 效仿另一朝鲜黑客 Onyx Sleet 将勒索软件加入其战术库,这表明该组织可能正在加强自己的能力来实现一些破坏性行动。”
原文始发于微信公众号(安全威胁纵横):微软发现:朝鲜黑客与新型勒索软件 FakePenny 相关
