Microsoft hat identifizierte Moonstone Sleet, eine nordkoreanische Hackergruppe, als die Entität hinter der FakePenny-Ransomware, die zu Lösegeldforderungen in Höhe von insgesamt Millionen Dollar geführt hat. Diese Gruppe, früher bekannt als Storm-17, hat ein breites Spektrum an Sektoren ins Visier genommen, darunter Finanzen, Cyberspionage, Software, Informationstechnologie, Bildung und Verteidigung.
Einzigartige und maßgeschneiderte Angriffsmethoden Tools
Moonstone Sleet hat seine eigene Infrastruktur und Tools entwickelt, die sich von den Taktiken anderer nordkoreanischer Gruppen unterscheiden. Anfangs ähnelten ihre Methoden denen von Diamond Sleet, einer anderen nordkoreanischen Gruppe, mit umfangreicher Wiederverwendung von Code aus der Malware von Diamond Sleet, beispielsweise Comebacker. Zu den Techniken von Moonstone Sleet gehörte die Nutzung sozialer Medien zur Verbreitung trojanisierter Software. Im Laufe der Zeit sind sie auf ihre eigene benutzerdefinierte Infrastruktur und Angriffsmethoden umgestiegen, obwohl beide Gruppen weiterhin gleichzeitig agieren.
Im April setzte Moonstone Sleet eine benutzerdefinierte Variante der FakePenny-Ransomware ein und forderte 6,6 Millionen US-Dollar in Bitcoin. eine deutliche Steigerung gegenüber früheren nordkoreanischen Ransomware-Forderungen in Höhe von 100.000 US-Dollar. Die Analyse von Microsoft legt nahe, dass finanzieller Gewinn zwar ein Hauptmotiv ist, die Geschichte der Cyberspionage der Gruppe jedoch darauf hindeutet, dass sie sich doppelt auf die Generierung von Einnahmen und die Sammlung von Informationen konzentriert.
Infiltrationsmethoden
Die Gruppe hat verschiedene Methoden zur Interaktion eingesetzt potenzielle Opfer. Dazu gehören trojanisierte Software wie PuTTY, bösartige Spiele wie DeTankWar, npm-Pakete und gefälschte Softwareentwicklungsfirmen wie StarGlow Ventures und C.C. Wasserfall. Diese gefälschten Entitäten wurden verwendet, um mit Zielen auf Plattformen wie LinkedIn, Telegram, freiberuflichen Netzwerken und E-Mail in Kontakt zu treten.
Moonstone Sleet ist Teil eines umfassenderen Musters nordkoreanischer Cyberaktivitäten. Die Lazarus-Gruppe wurde zuvor für den WannaCry-Ransomware-Ausbruch im Mai 2017 verantwortlich gemacht, von dem Hunderttausende Computer weltweit betroffen waren. Zuletzt, im Juli 2022, brachten Microsoft und das FBI nordkoreanische Hacker mit dem Holy Ghost Ransomware-Operation und der Maui-Ransomware-Angriffe auf Gesundheitsorganisationen.
Softwareentwickler und Luft-und Raumfahrtsektor im Visier
Moonstone Sleet hat es ebenfalls ins Visier genommen Softwareentwickler nutzten bösartige NPM-Pakete und arbeiteten in Softwareentwicklungspositionen bei seriösen Unternehmen, um sich Zugang zu Organisationen zu verschaffen. Die Gruppe hat Unternehmen im Luft-und Raumfahrtsektor kompromittiert, darunter solche, die sich mit Drohnentechnologie und Flugzeugteilen befassen. Ihre Taktiken haben sich von denen anderer nordkoreanischer Bedrohungsakteure weiterentwickelt, was auf einen möglichen Austausch von Fachwissen und Techniken hindeutet.
Moonstone Sleet und Diamond Sleet haben gleichzeitig Operationen durchgeführt und dabei ähnliche Techniken und Codes verwendet. Dies deutet auf eine koordinierte Anstrengung innerhalb der nordkoreanischen Cyberoperationen hin, bei der verschiedene Gruppen Ressourcen und Methoden teilen, um ihre Ziele zu erreichen.
