虽然该威胁组织的策略、技术和程序 (TTP) 与其他朝鲜攻击者大部分重叠,但它也慢慢采用了新的攻击方法,以及自己的定制基础设施和工具。
Moonstone Sleet 之前被追踪为 Storm-17,据观察,它使用木马软件(例如 PuTTY)、恶意游戏和 npm 包、自定义恶意软件加载器和虚假软件开发公司(例如 StarGlow Ventures 和 CC Waterfall)攻击金融和网络间谍目标,这些公司设立的目的是在 LinkedIn、Telegram、自由职业网络或通过电子邮件与潜在受害者进行互动。
微软表示:“当微软首次检测到 Moonstone Sleet 活动时,该威胁参与者表现出与 Diamond Sleet 的强烈重叠,大量重复使用已知 Diamond Sleet 恶意软件(如 Comebacker)的代码,并使用成熟的 Diamond Sleet 技术来访问组织,例如使用社交媒体来传播木马软件。 ”
“然而,Moonstone Sleet 很快转向了其定制的基础设施和攻击。随后,微软观察到 Moonstone Sleet 和 Diamond Sleet 同时进行操作,而 Diamond Sleet 仍在使用其已知的、成熟的技术。”
Moonstone Sleet PuTTY 攻击流程(微软)
在入侵受害者网络两个月后,威胁行为者于今年 4 月首次部署了新的定制 FakePenny 勒索软件变种。
然而,与朝鲜国家黑客协调的先前勒索软件攻击(受害者被要求支付 10 万美元)不同,Moonstone Sleet 攻击者要求的赎金为 660 万美元 BTC。
微软对此次攻击的评估得出结论,Moonstone Sleet 部署勒索软件的主要动机是获取经济利益。该组织之前参与网络间谍攻击的经历表明,他们的攻击重点是获取收入和收集情报。
自首次被发现以来,该组织已将目标锁定多个垂直行业,包括软件和信息技术、教育和国防工业基础领域的个人和组织。
FakePenny 勒索信(微软)
Moonstone Sleet 并不是近年来第一个涉嫌发动勒索软件攻击的朝鲜黑客组织。例如,美国和英国政府就曾正式将 2017 年 5 月发生的 WannaCry 勒索软件爆发归咎于Lazarus Group ,该病毒摧毁了全球数十万台计算机。
多年后,在 2022 年 7 月,微软和 FBI 还分别将朝鲜黑客与针对医疗保健机构的Holy Ghost 勒索软件行动和Maui 勒索软件攻击联系起来。
微软补充道:“Moonstone Sleet 的多样化战术不仅因为其有效性而引人注目,还因为它们是多年来为满足朝鲜网络目标而与其他几个朝鲜威胁行为者的战术不断演变而来的。”
“此外,Moonstone Sleet 在其剧本中添加勒索软件,就像另一个朝鲜威胁行为者 Onyx Sleet 一样,可能表明它正在扩大其能力以实现破坏性行动。”
原创文章,作者:guozi,如若转载,请注明出处:https://www.sudun.com/ask/79609.html
