Microsoft, devlet bağlantılı başka bir tehdit aktörünü daha seçti: Kuzey Kore rejiminin ileri hedeflerine yönelik siber casusluk ve fidye yazılımı saldırıları gerçekleştiren Moonstone Sleet (eski adıyla Storm-1789).
Microsoft’un tehdit analistleri, “Moonstone Sleet’in son birkaç yıldır diğer Kuzey Koreli tehdit aktörleri tarafından da kullanılan taktikleri, teknikleri ve prosedürleri (TTP’ler) kullanarak bu gruplar arasındaki örtüşmeyi vurguladığını” söylüyor.
“Microsoft, Moonstone Sleet etkinliğini ilk tespit ettiğinde aktör, Diamond Sleet ile güçlü örtüşmeler gösterdi; Comebacker gibi bilinen Diamond Sleet kötü amaçlı yazılımlarından gelen kodları kapsamlı bir şekilde yeniden kullandı ve kuruluşlara erişim sağlamak için sosyal medyayı truva atı haline getirmek için kullanmak gibi köklü Diamond Sleet tekniklerini kullandı. yazılım. Ancak Moonstone Sleet hızla kendi özel altyapısına ve saldırılarına geçti.”
Moonstone Sleet’in TTP’leri
Aytaşı Sleet saldırganları:
- Kurbanlara özel kötü amaçlı yazılım yükleyicileri yüklemek için LinkedIn, Telegram ve geliştirici serbest çalışma platformları aracılığıyla PuTTY’nin truva atı haline getirilmiş bir sürümü sunuldu
- Kötü amaçlı yükleri dağıtmak için kötü amaçlı npm paketleri kullanıldı (bilgi hırsızları dahil)
- Daha önce ele geçirdiği bir şirkete özel bir fidye yazılımı çeşidi (FakePenny) teslim etti ve dosyaların şifresini çözmek için 6,6 milyon dolar BTC istedi
Grup ayrıca meşru görünen web siteleri, sahte çalışan kimlikleri ve sosyal medya hesapları kurarak sahte yazılım geliştirme ve BT danışmanlık hizmetleri şirketleri “yarattı” ve bunları potansiyel hedeflere ulaşmak ve iş veya işbirliği istemek için kullandı.
Hangi hedeflerin e-postalarla etkileşime girdiğini doğrulamak için izleme pikselleri ve sahte bir abonelikten çıkma sayfası kullandılar.
“Moonstone Sleet, hedeflerle iletişim kurmak için CC Waterfall adlı sahte bir şirket kullandı. E-posta, oyunu blockchain ile ilgili bir proje olarak sundu ve hedefe, oyunu indirebilecekleri bir bağlantıyla birlikte işbirliği yapma fırsatı sundu. [DeTankWar] Microsoft, mesajın gövdesinde oyunun yer aldığını belirtti.
Moonstone Sleet, DeTankWar oyununun bağlantısını e-postayla gönderdi (Kaynak: Microsoft Threat Intelligence)
Bağlantılı yürütülebilir dosya, belleğe kötü amaçlı yükleri yükleyen ve ağ ve kullanıcı keşfi ile tarayıcı verilerinin toplanması için kötü amaçlı hizmetler oluşturan özel bir kötü amaçlı yazılım yükleyicisi (YouieLoad) sağlayan kötü amaçlı DLL’ler içeriyordu.
Son olarak grup, birden fazla meşru şirkette yazılım geliştiricisi olarak çalışmaya da çalıştı.
“Bu faaliyet, Amerika Birleşik Devletleri Adalet Bakanlığı’nın, Kuzey Kore’nin gelir elde etmek için yüksek vasıflı uzak BT çalışanlarını kullandığına dair önceki raporlarıyla tutarlı olabilir. Öte yandan, bu Aytaşı Karla karışık yağmur etkinliği de kuruluşlara erişim sağlama konusunda başka bir yaklaşım olabilir” diye belirtti analistler. Bu tür erişim, yazılım tedarik zinciri saldırılarını gerçekleştirmek için kullanılabilir.
Potansiyel hedefler için tavsiyeler
Grubun şu ana kadar drone teknolojisi üreten bir firmayı, uçak parçaları üreten bir firmayı, bir savunma teknolojisi firmasını, yazılım/bilgi teknolojileri ve eğitim sektörlerindeki kuruluşları hedef aldığı görüldü.
Microsoft, kuruluşların Moonstone Sleet saldırısı tehdidini azaltmak veya başarılı bir saldırının kanıtlarını tespit etmek için kullanabileceği önerileri, uzlaşma göstergelerini ve sorgu aramalarını paylaştı.