Microsoft stworzył zidentyfikował Moonstone Sleet, północnokoreańską grupę hakerską, jako podmiot stojący za oprogramowaniem ransomware FakePenny, które doprowadziło do żądań okupu na łączną kwotę milionów dolarów. Grupa ta, wcześniej znana jako Storm-17, obiera za cel szeroki zakres sektorów, w tym finanse, cyberszpiegostwo, oprogramowanie, technologie informacyjne, edukację i obronę.
Unikalne metody ataku i niestandardowe Narzędzia
Moonstone Sleet opracował własną infrastrukturę i narzędzia, odbiegając od taktyki innych północnokoreańskich grup. Początkowo ich metody odzwierciedlały metody stosowane przez Diamond Sleet, inną północnokoreańską grupę, i obejmowały szerokie ponowne wykorzystanie kodu ze złośliwego oprogramowania Diamond Sleet, takiego jak Comebacker. Techniki Moonstone Sleet obejmowały wykorzystywanie mediów społecznościowych do dystrybucji oprogramowania zawierającego trojany. Z biegiem czasu przeszli na własną, niestandardową infrastrukturę i metody ataków, chociaż obie grupy nadal działają równolegle.
W kwietniu firma Moonstone Sleet wdrożyła niestandardowy wariant oprogramowania ransomware FakePenny, żądając 6,6 miliona dolarów w Bitcoinach, co stanowi znaczny wzrost w porównaniu z poprzednimi żądaniami dotyczącymi oprogramowania ransomware z Korei Północnej, wynoszącymi 100 000 dolarów. Analiza Microsoftu sugeruje, że choć główną motywacją jest zysk finansowy, historia cyberszpiegostwa prowadzonej przez tę grupę wskazuje na podwójne skupienie się na generowaniu przychodów i gromadzeniu danych wywiadowczych.
Metody infiltracji
Grupa stosowała różne metody interakcji z potencjalne ofiary. Należą do nich trojanizowane oprogramowanie, takie jak PuTTY, złośliwymi grami, takimi jak DeTankWar, pakietami npm i fałszywymi firmami zajmującymi się tworzeniem oprogramowania, takimi jak StarGlow Ventures i C.C. Wodospad. Te fałszywe podmioty były wykorzystywane do nawiązywania kontaktu z celami na platformach takich jak LinkedIn, Telegram, sieci niezależnych pracowników i poczta e-mail.
Moonstone Sleet stanowi część szerszego wzorca północnokoreańskich działań cybernetycznych. Grupę Lazarus obwiniano wcześniej za epidemię oprogramowania ransomware WannaCry w maju 2017 r., która dotknęła setki tysięcy komputerów na całym świecie. Niedawno, w lipcu 2022 r., Microsoft i FBI powiązali północnokoreańskich hakerów z Holy Ghost ransomware i operacja Ataki ransomware Maui na organizacje opieki zdrowotnej.
Atak na twórców oprogramowania i sektor lotniczy
Moonstone Sleet również był celem twórcy oprogramowania korzystający ze złośliwych pakietów npm i podejmujący pracę na stanowiskach programistów w legalnych firmach, aby uzyskać dostęp do organizacji. Grupa naraziła na szwank firmy z sektora lotniczego i kosmicznego, w tym te zajmujące się technologią dronów i częściami do samolotów. Ich taktyka ewoluowała od taktyk innych północnokoreańskich ugrupowań zagrażających, co wskazuje na możliwość wymiany wiedzy specjalistycznej i technik.
Moonstone Sleet i Diamond Sleet przeprowadziły operacje jednocześnie, używając podobnych technik i kodu. Sugeruje to skoordynowane wysiłki w ramach północnokoreańskich operacji cybernetycznych, w ramach których różne grupy dzielą się zasobami i metodami, aby osiągnąć swoje cele.
