Você está visualizando atualmente Microsoft Descobre ‘Moonstone Sleet’ – Novo Grupo de Hackers Norte-Coreano

Microsoft Descobre ‘Moonstone Sleet’ – Novo Grupo de Hackers Norte-Coreano

Um ator de ameaças norte-coreano nunca antes visto, codinome Moonstone Sleet, foi atribuído como responsável por ataques cibernéticos direcionados a indivíduos e organizações nos setores de software e tecnologia da informação, educação e base industrial de defesa com ransomware e malware personalizado anteriormente associado ao infame Grupo Lazarus.

A equipe de Inteligência de Ameaças da Microsoft afirmou em uma nova análise que “Moonstone Sleet é observado criando empresas e oportunidades de emprego falsas para interagir com potenciais alvos, empregar versões trojanizadas de ferramentas legítimas, criar um jogo malicioso e entregar um novo ransomware personalizado”.

Moonstone Sleet utilizou uma combinação de técnicas tradicionais utilizadas por outros atores de ameaças norte-coreanos e metodologias de ataque exclusivas para atingir seus objetivos estratégicos.

Este adversário, até então rastreado pela equipe da Redmond sob a alcunha emergente de Storm-1789, é avaliado como sendo um grupo alinhado ao estado que originalmente apresentava fortes sobreposições táticas com o Grupo Lazarus (também conhecido como Diamond Sleet), antes de estabelecer sua própria identidade distinta por meio de infraestrutura separada e perícia operacional.

As semelhanças com o Lazarus incluem a extensa reutilização de códigos de malware conhecidos, como o Comebacker, que foi observado pela primeira vez em janeiro de 2021 em conexão com uma campanha que visava pesquisadores de segurança envolvidos em pesquisa e desenvolvimento de vulnerabilidades.

Além disso, Moonstone Sleet é conhecido por buscar emprego em posições de desenvolvimento de software em diversas empresas legítimas, provavelmente tentando gerar receitas ilícitas para o país atingido por sanções ou obter acesso secreto a organizações.

Cadeias de ataque observadas em agosto de 2023 envolveram o uso de uma versão modificada do PuTTY – uma tática adotada pelo Grupo Lazarus no final de 2022 como parte da Operação Dream Job – via LinkedIn, Telegram e plataformas independentes de freelancing.

Para apoiar seus diversos objetivos, Moonstone Sleet também é conhecido por perseguir o desenvolvimento de software em várias empresas legítimas, provavelmente tentando gerar receitas ilícitas para o país atingido por sanções ou obter acesso secreto a organizações.

Cadeias de ataque observadas em agosto de 2023 envolveram o uso de uma versão modificada do PuTTY – uma tática adotada pelo Grupo Lazarus no final de 2022 como parte da Operação Dream Job – via LinkedIn, Telegram e plataformas de freelancing de desenvolvedores.

Muitas vezes, o ator enviava alvos um arquivo .ZIP contendo duas ferramentas: uma versão trojanizada do putty.exe e url.txt, que continha um endereço IP e uma senha. Se o IP e a senha fornecidos fossem inseridos pelo usuário no aplicativo PuTTY, o aplicativo descriptografaria uma carga incorporada, carregaria e a executaria.

O executável PuTTY trojanizado é projetado para liberar um instalador personalizado chamado SplitLoader que inicia uma sequência de estágios intermediários para lançar finalmente um carregador Trojan responsável por executar um executável recebido de um servidor C2.

Sequências de ataque alternativas envolveram o uso de pacotes npm maliciosos entregues por meio do LinkedIn ou de sites de freelancing, muitas vezes se passando por uma empresa falsa para enviar arquivos .ZIP que invocam um pacote npm malicioso sob o disfarce de uma avaliação de habilidades técnicas.

Esses pacotes npm são configurados para se conectar a um endereço IP controlado pelo ator e descarregar cargas semelhantes ao SplitLoader, ou facilitar o roubo de credenciais do processo Windows Local Security Authority Subsystem Service (LSASS).

Vale ressaltar que o direcionamento de desenvolvedores npm usando pacotes falsificados associados a uma campanha anteriormente documentada pela Palo Alto Networks Unit 42 sob o nome Contagious Interview. A Microsoft está rastreando a atividade sob o nome Storm-1877.

Pacotes npm falsos também foram um vetor de entrega de malware para outro grupo ligado à Coreia do Norte, codinome Jade Sleet, que foi implicado no hack da JumpCloud no ano passado.

Outros ataques detectados pela Microsoft desde fevereiro de 2024 utilizaram um jogo de tanques malicioso chamado DeTankWar, distribuído para alvos por e-mail ou plataformas de mensagens, enquanto fornecia uma camada de legitimidade criando sites e contas falsas em X (anteriormente Twitter).

“Moonstone Sleet geralmente aborda seus alvos por meio de plataformas de mensagens ou por e-mail, se apresentando como um desenvolvedor de jogos em busca de investimento ou suporte de desenvolvedores e se disfarçando como uma empresa legítima de blockchain ou usando empresas falsas”, disseram os pesquisadores da Microsoft.

“Foi criada uma empresa falsa chamada C.C. Waterfall para entrar em contato com os alvos. O e-mail apresentou o jogo como um projeto relacionado à blockchain e ofereceu ao alvo a oportunidade de colaborar, com um link para fazer o download do jogo incluído no corpo da mensagem.”

O jogo supostamente (“delfi-tank-unity.exe”) vem com um carregador de malware chamado YouieLoad, capaz de carregar cargas de estágios seguintes na memória e criar serviços maliciosos para descoberta de rede e usuário e coleta de dados do navegador.

Outra empresa não existente – completa com um domínio personalizado, personas falsas de funcionários e contas de mídia social – criada por Moonstone Sleet para suas campanhas de engenharia social é StarGlow Ventures, que se disfarçava de uma empresa legítima de desenvolvimento de software para entrar em contato com possíveis alvos para colaboração em projetos relacionados a aplicativos web, aplicativos móveis, blockchain e inteligência artificial.

Embora seja incerto qual foi o fim dessa campanha, que ocorreu de janeiro a abril de 2024, o fato de que as mensagens de e-mail continham um pixel de rastreamento levanta a possibilidade de que possa ter sido usado como parte de um exercício de construção de confiança e determinar quais dos destinatários se envolveram com os e-mails para futuras oportunidades de geração de receita.

A mais recente ferramenta no arsenal do adversário é uma variante de ransomware personalizada chamada FakePenny, que foi implantada contra uma empresa de tecnologia de defesa não nomeada em abril de 2024, em troca de um resgate de US$ 6,6 milhões em Bitcoin.

O uso de ransomware é mais uma tática retirada do playbook de Andariel (também conhecido como Onyx Sleet), um subgrupo operando dentro do guarda-chuva do Lazarus conhecido por famílias de ransomware como H0lyGh0st e Maui.

Além de adotar medidas de segurança necessárias para se defender contra ataques do ator de ameaças, a Redmond está instando as empresas de software a ficarem atentas a ataques à cadeia de suprimentos, dada a propensão dos grupos de hackers norte-coreanos para envenenar a cadeia de suprimentos de software para realizar operações maliciosas em grande escala.

“O conjunto diversificado de táticas do Moonstone Sleet é notável não apenas por sua eficácia, mas também por como evoluíram daquelas de vários outros atores de ameaças norte-coreanos ao longo de muitos anos de atividades para atender aos objetivos cibernéticos norte-coreanos”, disse a empresa.

A divulgação acontece após a Coreia do Sul acusar seu país vizinho, especialmente o Grupo Lazarus, de roubar 1.014 gigabytes de dados e documentos, como nomes, números de registro de residentes e registros financeiros, de uma rede judicial de janeiro de 2021 a fevereiro de 2023, conforme relatado pelo Korea JoongAng Daily no início deste mês.