Microsoft ontdekt 'Moonstone Sleet' – Nieuwe Noord-Koreaanse hackergroep

Een nog nooit eerder geziene Noord-Koreaanse dreigingsacteur met de codenaam Maansteen ijzel wordt toegeschreven als de oorzaak van cyberaanvallen gericht op individuen en organisaties in de software- en informatietechnologie-, onderwijs- en defensie-industriesectoren met ransomware en op maat gemaakte malware die voorheen werd geassocieerd met de beruchte Lazarus Group.

“Er wordt waargenomen dat Moonstone Sleet nepbedrijven en vacatures opricht om in contact te komen met potentiële doelwitten, getrojaniseerde versies van legitieme tools gebruikt, een kwaadaardig spel maakt en een nieuwe aangepaste ransomware aflevert”, aldus het Microsoft Threat Intelligence-team in een nieuwe analyse.

Het karakteriseerde de dreigingsactoren ook als een combinatie van beproefde technieken die door andere Noord-Koreaanse dreigingsactoren worden gebruikt en unieke aanvalsmethoden om zijn strategische doelstellingen te bereiken.

De tegenstander, tot nu toe gevolgd door Redmond onder de opkomende clusternaam Storm-1789, wordt beschouwd als een staatsgebonden groep die oorspronkelijk sterke tactische overlappingen vertoonde met de Lazarus Group (ook bekend als Diamond Sleet), voordat hij zijn eigen onderscheidende identiteit vestigde via afzonderlijke infrastructuur. en ambacht.

De overeenkomsten met Lazarus omvatten onder meer het uitgebreid hergebruiken van code van bekende malware zoals Comebacker, die voor het eerst werd waargenomen in januari 2021 in verband met een campagne gericht op beveiligingsonderzoekers die werken aan onderzoek en ontwikkeling van kwetsbaarheden.

Comebacker werd pas in februari van dit jaar door de Lazarus Group in gebruik genomen en ingebed in ogenschijnlijk onschadelijke Python- en npm-pakketten om contact te maken met een command-and-control (C2)-server om extra payloads op te halen.

Om zijn diverse doelstellingen te ondersteunen, is het ook bekend dat Moonstone Sleet werkgelegenheid nastreeft in softwareontwikkelingsfuncties bij meerdere legitieme bedrijven, waarschijnlijk in een poging illegale inkomsten te genereren voor het door sancties getroffen land of om heimelijke toegang te krijgen tot organisaties.

Aanvalsketens die in augustus 2023 werden waargenomen, omvatten het gebruik van een aangepaste versie van PuTTY – een tactiek die eind 2022 door de Lazarus Group werd overgenomen als onderdeel van Operatie Dream Job – via LinkedIn en Telegram, evenals freelanceplatforms voor ontwikkelaars.

“Vaak stuurde de acteur doelen een .ZIP-archief met daarin twee bestanden: een getrojaniseerde versie van putty.exe en url.txt, die een IP-adres en een wachtwoord bevatten”, aldus Microsoft. “Als het opgegeven IP-adres en wachtwoord door de gebruiker in de PuTTY-applicatie zouden worden ingevoerd, zou de applicatie een ingebedde payload decoderen, deze vervolgens laden en uitvoeren.”

Het getrojaniseerde uitvoerbare bestand PuTTY is ontworpen om een ​​aangepast installatieprogramma genaamd SplitLoader te laten vallen dat een reeks tussenstappen initieert om uiteindelijk een Trojan-lader te starten die verantwoordelijk is voor het uitvoeren van een draagbaar uitvoerbaar bestand dat is ontvangen van een C2-server.

Alternatieve aanvalssequenties omvatten het gebruik van kwaadaardige npm-pakketten die worden geleverd via LinkedIn of freelancewebsites, vaak vermomd als een nepbedrijf om .ZIP-bestanden te verzenden die een kwaadaardig npm-pakket aanroepen onder het mom van een beoordeling van technische vaardigheden.

Deze npm-pakketten zijn geconfigureerd om verbinding te maken met een door een actor bestuurd IP-adres en payloads te verwijderen die vergelijkbaar zijn met SplitLoader, of om diefstal van inloggegevens uit het Windows Local Security Authority Subsystem Service (LSASS)-proces te vergemakkelijken.

Het is vermeldenswaard dat het targeten van npm-ontwikkelaars die namaakpakketten gebruiken, in verband is gebracht met een campagne die eerder werd gedocumenteerd door Palo Alto Networks Unit 42 onder de naam Contagious Interview (ook bekend als DEV#POPPER). Microsoft volgt de activiteit onder de naam Storm-1877.

Rogue npm-pakketten zijn ook een malware-leveringsvector geweest voor een andere aan Noord-Korea gelinkte groep met de codenaam Jade Sleet (ook bekend als TraderTraitor en UNC4899), die vorig jaar betrokken was bij de JumpCloud-hack.

Andere aanvallen die Microsoft sinds februari 2024 heeft gedetecteerd, maken gebruik van een kwaadaardig tankspel genaamd DeTankWar (ook bekend als DeFiTankWar, ​​DeTankZone en TankWarsZone) dat via e-mail- of berichtenplatforms onder doelwitten wordt verspreid, terwijl het een laag legitimiteit verleent door nepwebsites en -accounts op X op te zetten. (voorheen Twitter).

“Moonstone Sleet benadert zijn doelen doorgaans via berichtenplatforms of per e-mail, waarbij hij zichzelf presenteert als een game-ontwikkelaar die op zoek is naar investeringen of ondersteuning voor ontwikkelaars en zich voordoet als een legitiem blockchain-bedrijf of nepbedrijven gebruikt”, aldus Microsoft-onderzoekers.

“Moonstone Sleet gebruikte een nepbedrijf genaamd CC Waterfall om contact op te nemen met doelwitten. De e-mail presenteerde het spel als een blockchain-gerelateerd project en bood het doelwit de mogelijkheid om samen te werken, met een link om het spel te downloaden in de hoofdtekst van het bericht.”

Het vermeende spel (“delfi-tank-unity.exe”) wordt geleverd met een malware-lader genaamd YouieLoad, die in staat is om volgende fase-payloads in het geheugen te laden en kwaadaardige services te creëren voor netwerk- en gebruikersdetectie en het verzamelen van browsergegevens.

Een ander niet-bestaand bedrijf – compleet met een aangepast domein, nep-personeelspersona’s en sociale media-accounts – gecreëerd door Moonstone Sleet voor zijn social engineering-campagnes is StarGlow Ventures, dat zich voordeed als een legitiem softwareontwikkelingsbedrijf om potentiële doelen voor samenwerking te bereiken. over projecten gerelateerd aan webapps, mobiele apps, blockchain en AI.

Hoewel het einde van deze campagne, die plaatsvond van januari tot april 2024, onduidelijk is, vergroot het feit dat de e-mailberichten waren ingebed met een trackingpixel de mogelijkheid dat deze mogelijk zijn gebruikt als onderdeel van een vertrouwensopbouwende oefening en bepalen welke van de ontvangers zich met de e-mails heeft beziggehouden voor toekomstige mogelijkheden voor het genereren van inkomsten.

Het nieuwste hulpmiddel in het arsenaal van de tegenstander is een aangepaste ransomwarevariant genaamd FakePenny, die in april 2024 werd ingezet tegen een niet nader genoemd defensietechnologiebedrijf in ruil voor een losgeld van $ 6,6 miljoen in Bitcoin.

Het gebruik van ransomware is een andere tactiek die rechtstreeks uit het speelboek van Andariel (ook bekend als Onyx Sleet) komt, een subgroep die opereert binnen de Lazarus-paraplu en bekend staat om ransomwarefamilies als H0lyGh0st en Maui.

Naast het nemen van de noodzakelijke veiligheidsmaatregelen ter verdediging tegen aanvallen van de dreigingsactor, dringt Redmond er bij softwarebedrijven op aan op hun hoede te zijn voor aanvallen op de toeleveringsketen, gezien de neiging van Noord-Koreaanse dreigingsactoren om de softwaretoeleveringsketen te vergiftigen om wijdverbreide kwaadaardige operaties uit te voeren.

“De diverse tactieken van Moonstone Sleet zijn niet alleen opmerkelijk vanwege hun effectiviteit, maar ook vanwege de manier waarop ze zijn geëvolueerd van die van verschillende andere Noord-Koreaanse dreigingsactoren gedurende vele jaren van activiteit om de Noord-Koreaanse cyberdoelstellingen te bereiken”, aldus het bedrijf.

De onthulling komt op het moment dat Zuid-Korea zijn noordelijke tegenhanger, met name de Lazarus Group, ervan beschuldigde tussen 7 januari 2021 en 9 februari 2023 1.014 gigabyte aan gegevens en documenten, zoals namen, ingezetenenregistratienummers en financiële gegevens, te hebben gestolen van een gerechtelijk netwerk. , meldde Korea JoongAng Daily eerder deze maand.

Thijs Van der Does