Microsoft a a identifié Moonstone Sleet, un groupe de piratage informatique nord-coréen, comme l’entité derrière le ransomware FakePenny, ce qui a conduit à des demandes de rançon totalisant des millions de dollars. Ce groupe, anciennement connu sous le nom de Storm-17, cible un large éventail de secteurs, notamment la finance, le cyberespionnage, les logiciels, les technologies de l’information, l’éducation et la défense.
Méthodes d’attaque uniques et personnalisées. Outils
Moonstone Sleet a développé sa propre infrastructure et ses propres outils, s’écartant des tactiques des autres groupes nord-coréens. Initialement, leurs méthodes reflétaient celles de Diamond Sleet, un autre groupe nord-coréen, avec une réutilisation extensive du code des malwares de Diamond Sleet, comme Comebacker. Les techniques de Moonstone Sleet comprenaient l’utilisation des médias sociaux pour distribuer des logiciels troyens. Au fil du temps, ils ont adopté leur propre infrastructure et leurs propres méthodes d’attaque, bien que les deux groupes continuent d’opérer simultanément.
En avril, Moonstone Sleet a déployé une variante personnalisée du ransomware FakePenny, exigeant 6,6 millions de dollars en Bitcoin, une augmentation significative par rapport aux précédentes demandes de ransomware nord-coréennes de 100 000 $. L’analyse de Microsoft suggère que même si le gain financier est une motivation principale, l’historique de cyberespionnage du groupe indique une double focalisation sur la génération de revenus et la collecte de renseignements.
Méthodes d’infiltration
Le groupe a utilisé diverses méthodes pour interagir avec victimes potentielles. Il s’agit notamment de logiciels trojanisés comme PuTTY, des jeux malveillants tels que DeTankWar, des packages npm et de fausses sociétés de développement de logiciels comme StarGlow Ventures et C.C. Cascade. Ces fausses entités ont été utilisées pour interagir avec des cibles sur des plateformes telles que LinkedIn, Telegram, des réseaux indépendants et le courrier électronique.
Moonstone Sleet fait partie d’un modèle plus large de cyberactivités nord-coréennes. Le groupe Lazarus avait déjà été blâmé pour l’épidémie du ransomware WannaCry en mai 2017, qui a touché des centaines de milliers d’ordinateurs dans le monde. Plus récemment, en juillet 2022, Microsoft et le FBI ont lié des pirates informatiques nord-coréens au l’opération du ransomware Holy Ghost et le Attaques de ransomware Maui contre des établissements de santé.
Ciblage des développeurs de logiciels et du secteur aérospatial
Moonstone Sleet a également ciblé les développeurs de logiciels utilisant des packages NPM malveillants et ont occupé des postes de développement de logiciels dans des entreprises légitimes pour accéder aux organisations. Le groupe a compromis des entreprises du secteur aérospatial, notamment celles impliquées dans la technologie des drones et les pièces d’avions. Leurs tactiques ont évolué par rapport à celles d’autres acteurs de la menace nord-coréenne, ce qui indique un possible partage d’expertise et de techniques.
Moonstone Sleet et Diamond Sleet ont mené des opérations simultanément, en utilisant des techniques et un code similaires. Cela suggère un effort coordonné au sein des cyber-opérations nord-coréennes, avec différents groupes partageant des ressources et des méthodes pour atteindre leurs objectifs.
