Benzersiz Hilelerle Moonstone Sleet Kuzey Koreli Hacker Grubu


Moonstone Sleet Benzersiz Hilelerle Yeni Kuzey Koreli Hacker Grubu

Microsoft, şu anda Moonstone Sleet (eski adıyla Storm-1789) olarak takip edilen yeni bir Kuzey Koreli tehdit aktörünü belirledi.

Bu aktör, finansal ve siber casusluk amaçları doğrultusunda şirketleri hedef almak için diğer Kuzey Koreli tehdit aktörleri tarafından kullanılan birçok denenmiş ve doğru tekniğin ve benzersiz saldırı metodolojilerinin bir kombinasyonunu kullanıyor.

Moonstone Sleet’in potansiyel hedeflerle etkileşime geçmek için sahte şirketler ve iş fırsatları kurduğu, meşru araçların truva atı haline getirilmiş sürümlerini kullandığı, kötü amaçlı bir oyun oluşturduğu ve yeni özel fidye yazılımı sunduğu gözlemleniyor.

Moonstone Sleet, son birkaç yılda diğer Kuzey Koreli tehdit aktörleri tarafından da kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) kullanarak bu gruplar arasındaki örtüşmeyi vurguluyor.

 All-in-One Cybersecurity Platform for MSPs to provide full breach protection with a single tool, Watch a Full Demo

Teknik Analiz

Moonstone Sleet’in başlangıçta Diamond Sleet ile çakışmaları olsa da, tehdit aktörü altyapısına ve saldırılarına yönelerek kendisini ayrı, iyi kaynaklara sahip Kuzey Koreli bir tehdit aktörü olarak kabul ettirdi.

Moonstone Sleet, truva atı haline getirilmiş PuTTY uygulamalarının sosyal medya ve serbest çalışma platformları aracılığıyla dağıtılmasından başlayarak, kötü amaçlı yazılım dağıtım zincirinin çeşitli aşamalarını kullanıyor.

Kötü amaçlı PuTTY tarafından bırakılan özel yükleyiciler, sonunda özel kötü amaçlı yazılım yükleyicileri haline gelen bir dizi verinin şifresini çözer ve çalıştırır.

Moonstone Sleet başlangıçta Diamond Sleet’ten ödünç aldı ancak şimdi Diamond Sleet’in eşzamanlı operasyonları için bilinen ticari becerilerin yanı sıra kullandığı altyapısını ve metodolojilerini geliştirdi.

Bu geniş kapsamlı kampanya, fidye yazılımı dağıtımı, dolandırıcılık işleri ve BT çalışanlarını kullanma gibi çeşitli faaliyetler yoluyla Moonstone Sleet’in mali ve siber casusluk hedeflerini desteklemeyi amaçlıyor.

Moonstone Sleet saldırı zinciri (Kaynak - Microsoft)
Moonstone Sleet saldırı zinciri (Kaynak – Microsoft)

Bu grubun faaliyet göstermesinin bir yolu, sahte şirketler için test ödevlerini kodluyormuş gibi görünen zararlı NPM paketleri ve şüphelenmeyen kurbanları, finansmana veya başka herhangi bir yardıma ihtiyacı olan blockchain geliştiricileriyle etkileşimde olduklarına inandıran “DeTankWar” adlı bir tank oyunu dağıtmaktır. .

Giriş noktası olarak kötü niyetli npm paketleri SplitLoader’ı tanıtarak hedefe ulaşırken, giriş noktası olarak oyun, virüs bulaşan kodunu yayıyor.

Moonstone Sleet, kimliğine bürünüldüğünü doğrulamak için web siteleri ve sosyal medya profillerinden oluşan kapsamlı bir kamu görünümü oluşturuyor.

GitHub’ın bu kümenin kötü amaçlı npm paket teslimatıyla ilgili depoları ortadan kaldırmak için Microsoft ile yaptığı işbirliği, Şubat 2024’ten bu yana oyunla ilgili temalara doğru bir kayma olduğunu gösterdi.

Moonstone Sleet, oyununun bağlantısını e-postayla göndermek için CC Waterfall’ı kullanıyor (Kaynak – Microsoft)

Moonstone Sleet’ten gelen kalıcı bir tehdit, siber casusluğu suç faaliyetleriyle harmanlama yönünde gelişen taktiklerle karakterize edilen suç ve devlet destekli motivasyonlardan kaynaklanmaktadır.

Moonstone Sleet, verileri ve fikri mülkiyet haklarını çalmak için savunma sektörü, teknoloji ve eğitim dahil olmak üzere çeşitli alanlardaki kuruluşların güvenliğini tehlikeye atıyor.

Öneriler

Aşağıda tüm önerilerden bahsettik: –

  • Fidye yazılımı tespiti için Microsoft Defender XDR’den yararlanın.
  • Kontrollü klasör erişimini ve kurcalamaya karşı korumayı etkinleştirin.
  • Uç Nokta için Microsoft Defender’da ağ korumasını etkinleştirin.
  • LSASS erişimi gibi hırsızlık tekniklerine karşı kimlik bilgilerinin güçlendirilmesini uygulayın.
  • Uç nokta tespitini ve yanıtını (EDR) blok modunda çalıştırın.
  • Otomatik araştırma ve düzeltme modunu yapılandırın.
  • Hızla gelişen tehditler için bulut tarafından sağlanan korumayı etkinleştirin.
  • Yürütülebilir dosyaların e-postadan engellenmesi ve dosya kısıtlamalarının uygulanması.
  • Gelişmiş fidye yazılımı koruma özelliklerinden yararlanın.
  • Yerel güvenlik yetkilisi alt sisteminden kimlik bilgilerinin çalınmasını önleyin.

Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.



Source link