Un actor de amenazas norcoreano nunca antes visto con nombre en código Aguanieve de piedra lunar Se le ha atribuido estar detrás de los ataques cibernéticos dirigidos a personas y organizaciones en los sectores de base industrial de software y tecnología de la información, educación y defensa con ransomware y malware personalizado previamente asociado con el infame Grupo Lazarus.
«Se observa que Moonstone Sleet crea empresas falsas y oportunidades de trabajo para interactuar con objetivos potenciales, emplea versiones troyanizadas de herramientas legítimas, crea un juego malicioso y entrega un nuevo ransomware personalizado», dijo el equipo de Microsoft Threat Intelligence. dicho en un nuevo análisis.
También caracterizó al actor de amenazas por utilizar una combinación de técnicas probadas y verdaderas utilizadas por otros actores de amenazas norcoreanos y metodologías de ataque únicas para cumplir sus objetivos estratégicos.
Se considera que el adversario, hasta ahora rastreado por Redmond bajo el nombre de cúmulo emergente Storm-1789, es un grupo alineado con el estado que originalmente exhibió fuertes superposiciones tácticas con el Grupo Lázaro (también conocido como Diamond Sleet), antes de establecer su propia identidad distintiva a través de infraestructura y artesanía separadas.
Las similitudes con Lazarus incluyen la reutilización extensiva de código de malware conocido como Regresarque se observó por primera vez en enero de 2021 en relación con una campaña dirigida a investigadores de seguridad que trabajan en investigación y desarrollo de vulnerabilidades.
Comebacker fue utilizado por el Grupo Lazarus en febrero de este año, integrándolo dentro de Paquetes Python y npm aparentemente inofensivos para establecer contacto con un servidor de comando y control (C2) para recuperar cargas útiles adicionales.
Para respaldar sus diversos objetivos, también se sabe que Moonstone Sleet busca empleo en puestos de desarrollo de software en múltiples empresas legítimas, probablemente en un intento de generar ingresos ilícitos para el país afectado por las sanciones o obtener acceso encubierto a organizaciones.
Las cadenas de ataques observadas en agosto de 2023 implicaron el uso de una versión modificada de PuTTY, una táctica adoptada por el Grupo Lázaro a finales de 2022 como parte de Operación Trabajo de ensueño – a través de LinkedIn y Telegram, así como plataformas de desarrolladores independientes.
«A menudo, el actor enviaba a sus objetivos un archivo .ZIP que contenía dos archivos: una versión troyanizada de putty.exe y url.txt, que contenía una dirección IP y una contraseña», dijo Microsoft. «Si el usuario ingresó la IP y la contraseña proporcionadas en la aplicación PuTTY, la aplicación descifrará una carga útil incorporada, luego la cargará y ejecutará».
El ejecutable troyanizado PuTTY está diseñado para colocar un instalador personalizado denominado SplitLoader que inicia una secuencia de etapas intermedias para finalmente lanzar un cargador de troyanos que es responsable de ejecutar un ejecutable portátil recibido de un servidor C2.
Las secuencias de ataque alternativas han implicado el uso de paquetes npm maliciosos que se entregan a través de LinkedIn o sitios web independientes, a menudo haciéndose pasar por una empresa falsa para enviar archivos .ZIP invocando un paquete npm malicioso bajo la apariencia de una evaluación de habilidades técnicas.
Estos paquetes npm están configurados para conectarse a una dirección IP controlada por el actor y eliminar cargas útiles similares a SplitLoader, o facilitar el robo de credenciales del Servicio del Subsistema de la Autoridad de Seguridad Local de Windows (LSASS) proceso.
Vale la pena señalar que el ataque a los desarrolladores de npm que utilizan paquetes falsificados se ha asociado con una campaña previamente documentada por la Unidad 42 de Palo Alto Networks con el nombre Entrevista contagiosa (también conocido como DESARROLLADOR#POPPER). Microsoft es seguimiento de la actividad bajo el nombre de Storm-1877.
Los paquetes npm fraudulentos también han sido un vector de entrega de malware para otro grupo vinculado a Corea del Norte cuyo nombre en código es Aguanieve de jade (también conocido como TraderTraitor y UNC4899), que estuvo implicado en el hack de JumpCloud el año pasado.
Otros ataques detectados por Microsoft desde febrero de 2024 han utilizado un juego de tanques malicioso llamado DeTankWar (también conocido como DeFiTankWar, DeTankZone y TankWarsZone) que se distribuye a los objetivos a través de correo electrónico o plataformas de mensajería, al tiempo que otorga una capa de legitimidad al configurar sitios web y cuentas falsos en X. (anteriormente Twitter).
«Moonstone Sleet normalmente se acerca a sus objetivos a través de plataformas de mensajería o por correo electrónico, presentándose como un desarrollador de juegos que busca inversión o apoyo para desarrolladores y haciéndose pasar por una empresa blockchain legítima o utilizando empresas falsas», dijeron los investigadores de Microsoft.
«Moonstone Sleet utilizó una empresa falsa llamada CC Waterfall para contactar a los objetivos. El correo electrónico presentaba el juego como un proyecto relacionado con blockchain y ofrecía al objetivo la oportunidad de colaborar, con un enlace para descargar el juego incluido en el cuerpo del mensaje».
El supuesto juego («delfi-tank-unity.exe») viene equipado con un cargador de malware denominado YouieLoad, que es capaz de cargar cargas útiles de la siguiente etapa en la memoria y crear servicios maliciosos para el descubrimiento de redes y usuarios y la recopilación de datos del navegador.
Otra empresa inexistente (con un dominio personalizado, empleados falsos y cuentas de redes sociales) creada por Moonstone Sleet para sus campañas de ingeniería social es StarGlow Ventures, que se hizo pasar por una empresa legítima de desarrollo de software para llegar a posibles objetivos de colaboración. en proyectos relacionados con aplicaciones web, aplicaciones móviles, blockchain e IA.
Si bien no está claro el final de esta campaña, que tuvo lugar de enero a abril de 2024, el hecho de que los mensajes de correo electrónico vinieran incrustados con un píxel de seguimiento plantea la posibilidad de que se haya utilizado como parte de un ejercicio de generación de confianza y determine cuál de los destinatarios interactuó con los correos electrónicos para futuras oportunidades de generación de ingresos.
La última herramienta en el arsenal del adversario es una variante de ransomware personalizada llamada FakePenny que se encontró implementada contra una empresa de tecnología de defensa anónima en abril de 2024 a cambio de un rescate de 6,6 millones de dólares en Bitcoin.
El uso de ransomware es otra táctica extraída directamente del manual de Andariel (también conocido como Onyx Sleet), un subgrupo que opera dentro del paraguas de Lazarus conocido por familias de ransomware como H0lyGh0st y Maui.
Además de adoptar las medidas de seguridad necesarias para defenderse de los ataques del actor de amenazas, Redmond insta a las empresas de software a estar atentas a los ataques a la cadena de suministro, dada la propensión de los actores de amenazas norcoreanos a envenenar la cadena de suministro de software para llevar a cabo operaciones maliciosas generalizadas.
«El conjunto diverso de tácticas de Moonstone Sleet es notable no sólo por su efectividad, sino por cómo han evolucionado a partir de las de varios otros actores de amenazas norcoreanos durante muchos años de actividad para cumplir con los objetivos cibernéticos de Corea del Norte», dijo la compañía.
La divulgación se produce cuando Corea del Sur acusó a su homólogo del norte, en particular al Grupo Lazarus, de robar 1.014 gigabytes de datos y documentos como nombres, números de registro de residentes y registros financieros de una red judicial del 7 de enero de 2021 al 9 de febrero de 2023. , Diario Corea JoongAng reportado a principios de este mes.
