Bedreigingsactoren in Noord-Korea zijn betrokken bij een recent incident waarbij een bekende ransomware-familie genaamd Play werd ingezet, wat hun financiële motieven onderstreept.
De activiteit, waargenomen tussen mei en september 2024, wordt toegeschreven aan een bedreigingsacteur die wordt gevolgd als Springerige Vissenook bekend als Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (voorheen Plutonium), Operation Troy, Silent Chollima en Stonefly.
“We geloven met gematigd vertrouwen dat Jumpy Pisces, of een fractie van de groep, nu samenwerkt met de Play-ransomwaregroep”, zegt Palo Alto Networks Unit 42 in een nieuw rapport dat vandaag is gepubliceerd.
“Dit incident is belangrijk omdat het de eerste geregistreerde samenwerking markeert tussen de door de Noord-Koreaanse staat gesponsorde Jumpy Pisces-groep en een ondergronds ransomware-netwerk.”
Andariel, actief sinds minstens 2009, is verbonden aan het Noord-Koreaanse Reconnaissance General Bureau (RGB). Er is eerder waargenomen dat er twee andere ransomware-varianten werden ingezet, bekend als SHATTEREDGLASS en Maui.
Eerder deze maand merkte Symantec, onderdeel van Broadcom, op dat drie verschillende organisaties in de VS in augustus 2024 het doelwit waren van de door de staat gesponsorde hackploeg als onderdeel van een waarschijnlijk financieel gemotiveerde aanval, ook al was er geen ransomware op hun netwerken ingezet.
Play daarentegen is een ransomware-operatie waarvan wordt aangenomen dat deze in oktober 2023 ongeveer 300 organisaties heeft getroffen. Het staat ook bekend als Balloonfly, Fiddling Scorpius en PlayCrypt.
Hoewel cyberbeveiligingsbedrijf Adlumin eind vorig jaar onthulde dat de operatie mogelijk is overgegaan op een ransomware-as-a-service (RaaS)-model, hebben de bedreigingsactoren achter Play sindsdien op hun dark web-dataleksite aangekondigd dat dit niet het geval is.
Bij het door Eenheid 42 onderzochte incident zou Andariel in mei 2024 aanvankelijk toegang hebben verkregen via een gecompromitteerd gebruikersaccount, gevolgd door zijwaartse bewegings- en persistentieactiviteiten met behulp van het Sliver command-and-control (C2) raamwerk en een op maat gemaakte achterdeur genaamd Dtrack. (ook bekend als Valefor en Preft).
“Deze externe tools bleven tot begin september communiceren met hun command-and-control (C2)-server”, aldus Unit 42. “Dit heeft uiteindelijk geleid tot de inzet van Play-ransomware.”
De implementatie van de Play-ransomware werd voorafgegaan door een ongeïdentificeerde bedreigingsacteur die het netwerk infiltreerde met hetzelfde gecompromitteerde gebruikersaccount, waarna werd waargenomen dat ze inloggegevens verzamelden, privileges escaleerden en de endpoint-detectie- en responssensoren (EDR) verwijderden, allemaal kenmerken van pre -ransomware-activiteiten.
Als onderdeel van de aanval werd ook een getrojaniseerd binair bestand gebruikt dat de geschiedenis van de webbrowser, informatie over automatisch invullen en creditcardgegevens voor Google Chrome, Microsoft Edge en Brave kan verzamelen.
Het gebruik van het gecompromitteerde gebruikersaccount door zowel Andariel als Play Asia, de verbinding tussen de twee inbraaksets, komt voort uit het feit dat de communicatie met de Sliver C2-server (172.96.137(.)224) gaande bleef tot de dag vóór de implementatie van de ransomware. Het C2 IP-adres is offline sinds de dag waarop de implementatie plaatsvond.
“Het blijft onduidelijk of Jumpy Pisces officieel een partner is geworden voor Play-ransomware of dat ze optraden als een IAB (initial access broker) door netwerktoegang te verkopen aan Play-ransomware-actoren”, concludeerde Unit 42. “Als de Play-ransomware geen RaaS-ecosysteem biedt zoals het beweert, heeft Jumpy Pisces mogelijk alleen als IAB gefunctioneerd.”
