Um ator de ameaça norte-coreano nunca antes visto com codinome Granizo de Pedra da Lua foi atribuído como responsável por ataques cibernéticos direcionados a indivíduos e organizações nos setores de software program e tecnologia da informação, educação e base industrial de defesa com ransomware e malware personalizado anteriormente associados ao infame Grupo Lazarus.
“Observa-se que Moonstone Sleet cria empresas falsas e oportunidades de emprego para interagir com alvos em potencial, emprega versões trojanizadas de ferramentas legítimas, cria um jogo malicioso e entrega um novo ransomware personalizado”, disse a equipe de Inteligência de Ameaças da Microsoft em uma nova análise.
Também caracterizou o agente da ameaça como utilizando uma combinação de técnicas testadas e comprovadas utilizadas por outros agentes da ameaça norte-coreanos e metodologias de ataque únicas para cumprir os seus objectivos estratégicos.
O adversário, até agora rastreado por Redmond sob o nome de cluster emergente Storm-1789, é avaliado como um grupo alinhado ao estado que originalmente exibia fortes sobreposições táticas com o Grupo Lazarus (também conhecido como Diamond Sleet), antes de estabelecer sua própria identidade distinta por meio de infraestrutura separada. e artesanato.
As semelhanças com o Lazarus incluem a reutilização extensiva de código de malware conhecido, como o Comebacker, que foi observado pela primeira vez em janeiro de 2021 em conexão com uma campanha dirigida a pesquisadores de segurança que trabalham em pesquisa e desenvolvimento de vulnerabilidades.
O Comebacker foi colocado em uso pelo Grupo Lazarus recentemente, em fevereiro deste ano, incorporando-o em pacotes Python e npm aparentemente inócuos para estabelecer contato com um servidor de comando e controle (C2) para recuperar cargas adicionais.
Para apoiar os seus diversos objetivos, Moonstone Sleet também é conhecido por procurar emprego em cargos de desenvolvimento de software program em várias empresas legítimas, provavelmente numa tentativa de gerar receitas ilícitas para o país atingido por sanções ou obter acesso secreto a organizações.
As cadeias de ataques observadas em agosto de 2023 envolveram o uso de uma versão modificada do PuTTY – uma tática adotada pelo Grupo Lazarus no last de 2022 como parte da Operação Dream Job – by way of LinkedIn e Telegram, bem como plataformas de desenvolvedores freelancers.
“Muitas vezes, o ator enviava aos alvos um arquivo .ZIP contendo dois arquivos: uma versão trojanizada de putty.exe e url.txt, que continha um endereço IP e uma senha”, disse a Microsoft. “Se o IP e a senha fornecidos fossem inseridos pelo usuário no aplicativo PuTTY, o aplicativo descriptografaria uma carga incorporada, depois a carregaria e a executaria.”
O executável PuTTY trojanizado foi projetado para descartar um instalador personalizado denominado SplitLoader, que inicia uma sequência de estágios intermediários para, finalmente, iniciar um carregador de Trojan responsável pela execução de um executável portátil recebido de um servidor C2.
Sequências alternativas de ataques implicaram o uso de pacotes npm maliciosos que são entregues através do LinkedIn ou de websites independentes, muitas vezes disfarçados de empresas falsas para enviar arquivos .ZIP, invocando um pacote npm malicioso sob o pretexto de uma avaliação de habilidades técnicas.
Esses pacotes npm são configurados para se conectar a um endereço IP controlado por ator e descartar cargas semelhantes ao SplitLoader ou facilitar o roubo de credenciais do processo LSASS (Serviço de Subsistema de Autoridade de Segurança Native) do Home windows.
É importante notar que o direcionamento de desenvolvedores npm que usam pacotes falsificados foi associado a uma campanha anteriormente documentada pela Unidade 42 da Palo Alto Networks sob o nome Contagious Interview (também conhecida como DEV#POPPER). A Microsoft está rastreando a atividade sob o nome Storm-1877.
Pacotes npm desonestos também têm sido um vetor de entrega de malware para outro grupo vinculado à Coreia do Norte, de codinome Jade Sleet (também conhecido como TraderTraitor e UNC4899), que foi implicado no hack do JumpCloud no ano passado.
Outros ataques detectados pela Microsoft desde fevereiro de 2024 utilizaram um jogo de tanques malicioso chamado DeTankWar (também conhecido como DeFiTankWar, DeTankZone e TankWarsZone) que é distribuído a alvos by way of e-mail ou plataformas de mensagens, ao mesmo tempo que empresta uma camada de legitimidade ao configurar websites e contas falsas no X (anteriormente Twitter).
“A Moonstone Sleet normalmente aborda seus alvos por meio de plataformas de mensagens ou por e-mail, apresentando-se como um desenvolvedor de jogos em busca de investimento ou suporte para desenvolvedores e se disfarçando de uma empresa legítima de blockchain ou usando empresas falsas”, disseram pesquisadores da Microsoft.
“Moonstone Sleet usou uma empresa falsa chamada CC Waterfall para contatar os alvos. O e-mail apresentava o jogo como um projeto relacionado ao blockchain e oferecia ao alvo a oportunidade de colaborar, com um hyperlink para baixar o jogo incluído no corpo da mensagem.”
O suposto jogo (“delfi-tank-unity.exe”) vem equipado com um carregador de malware conhecido como YouieLoad, que é capaz de carregar cargas úteis de próximo estágio na memória e criar serviços maliciosos para descoberta de rede e usuário e coleta de dados do navegador.
Outra empresa inexistente – completa com um domínio personalizado, personas falsas de funcionários e contas de mídia social – criada pela Moonstone Sleet para suas campanhas de engenharia social é a StarGlow Ventures, que se disfarçou como uma empresa legítima de desenvolvimento de software program para alcançar possíveis alvos de colaboração. em projetos relacionados a aplicativos internet, aplicativos móveis, blockchain e IA.
Embora o last desta campanha, que ocorreu de janeiro a abril de 2024, não seja claro, o fato de as mensagens de e-mail terem vindo incorporadas a um pixel de rastreamento levanta a possibilidade de que ele possa ter sido usado como parte de um exercício de construção de confiança e determinar qual dos destinatários se envolveu com os e-mails para futuras oportunidades de geração de receita.
A ferramenta mais recente no arsenal do adversário é uma variante de ransomware personalizada chamada FakePenny, que foi encontrada implantada contra uma empresa de tecnologia de defesa não identificada em abril de 2024 em troca de um resgate de US$ 6,6 milhões em Bitcoin.
O uso de ransomware é outra tática retirada diretamente do handbook de Andariel (também conhecido como Onyx Sleet), um subgrupo que opera dentro do guarda-chuva Lazarus conhecido por famílias de ransomware como H0lyGh0st e Maui.
Além de adotar as medidas de segurança necessárias para se defender contra ataques do ator ameaçador, Redmond está instando as empresas de software program a estarem atentas a ataques à cadeia de abastecimento, dada a propensão dos grupos de hackers norte-coreanos de envenenar a cadeia de abastecimento de software program para conduzir operações maliciosas generalizadas.
“O conjunto diversificado de táticas do Moonstone Sleet é notável não apenas por sua eficácia, mas por causa de como elas evoluíram a partir de vários outros atores de ameaças norte-coreanos ao longo de muitos anos de atividade para atender aos objetivos cibernéticos norte-coreanos”, disse a empresa.
A divulgação ocorre no momento em que a Coreia do Sul acusa seu homólogo do norte, especialmente o Grupo Lazarus, de roubar 1.014 gigabytes de dados e documentos como nomes, números de registro de residentes e registros financeiros de uma rede judicial de 7 de janeiro de 2021 a 9 de fevereiro de 2023. , relatou o Korea JoongAng Every day no início deste mês.
