Você está visualizando atualmente Microsoft Descobre ‘Moonstone Sleet’ — Novo Grupo de Hackers Norte-coreano

Microsoft Descobre ‘Moonstone Sleet’ — Novo Grupo de Hackers Norte-coreano

Um ator de ameaças norte-coreano nunca antes visto, codinome Moonstone Sleet, foi atribuído como responsável por ataques cibernéticos direcionados a pessoas e organizações nos setores de software, tecnologia da informação, educação e base industrial de defesa com ransomware e malware personalizado anteriormente associado ao infame Lazarus Group.

“Moonstone Sleet é observado criando empresas e oportunidades de emprego falsas para interagir com possíveis alvos, empregar versões trojanizadas de ferramentas legítimas, criar um jogo malicioso e apresentar um novo ransomware personalizado”, disse a equipe de Inteligência de Ameaças da Microsoft em uma nova análise.

O ator de ameaças também é caracterizado por usar uma combinação de técnicas comprovadas usadas por outros atores de ameaças norte-coreanos e metodologias de ataque únicas para atender seus objetivos estratégicos.

O adversário, até então rastreado por Redmond sob o apelido emergente Storm-1789, é avaliado como um grupo alinhado ao estado que originalmente exibia fortes sobreposições táticas com o Lazarus Group (também conhecido como Diamond Sleet), antes de estabelecer sua própria identidade distinta por meio de infraestrutura e artesanato separados.

As semelhanças com o Lazarus incluem reutilização extensiva de código de malware conhecido, como o Comebacker, que foi observado pela primeira vez em janeiro de 2021 em conexão com uma campanha direcionada a pesquisadores de segurança que trabalham em pesquisa e desenvolvimento de vulnerabilidades.

Comebacker foi usado pelo Lazarus Group recentemente em fevereiro, incorporando-o em pacotes Python e npm aparentemente inofensivos para estabelecer contato com um servidor de comando e controle (C2) para recuperar cargas adicionais.

Para apoiar seus diversos objetivos, Moonstone Sleet também é conhecido por buscar emprego em posições de desenvolvimento de software em várias empresas legítimas, provavelmente em uma tentativa de gerar receita ilícita para o país atingido por sanções ou obter acesso secreto a organizações.

Cadeias de ataques observadas em agosto de 2023 envolviam o uso de uma versão modificada do PuTTY – uma tática adotada pelo Lazarus Group no final de 2022 como parte da Operação Dream Job – via LinkedIn, Telegram e plataformas de freelancers.

Com frequência, o ator enviava alvos um arquivo .ZIP contendo dois arquivos: uma versão trojanizada de putty.exe e url.txt, que continha um endereço IP e uma senha. Se o IP e a senha fornecidos fossem inseridos pelo usuário na aplicação PuTTY, a aplicação descriptografaria uma carga incorporada, carregando e executando-a.

O executável PuTTY trojanizado é projetado para baixar um instalador personalizado chamado SplitLoader, que inicia uma sequência de estágios intermediários para lançar finalmente um carregador de trojan responsável por executar um executável portátil recebido de um servidor C2.

Sequências de ataque alternativas envolveram o uso de pacotes npm maliciosos entregues através do LinkedIn ou de sites de freelancers, muitas vezes disfarçados como uma empresa falsa para enviar arquivos .ZIP invocando um pacote npm malicioso sob a aparência de uma avaliação de habilidades técnicas.

Esses pacotes npm são configurados para se conectar a um endereço IP controlado pelo ator e baixar cargas semelhantes ao SplitLoader, ou facilitar o roubo de credenciais do processo Windows Local Security Authority Subsystem Service (LSASS).

Vale ressaltar que o direcionamento de desenvolvedores npm usando pacotes falsificados esteve associado a uma campanha previamente documentada pela Palo Alto Networks Unit 42 sob o nome Contagious Interview (também conhecida como DEV#POPPER). A Microsoft está rastreando a atividade sob o nome Storm-1877.

Michael Sikorski, vice-presidente e CTO da Unit 42, disse ao The Hacker News que ainda estão conduzindo análises, mas observou que não há “sobreposição direta” entre o Moonstone Sleet e o Contagious Interview.

Pacotes npm fraudulentos também têm sido um vetor de entrega de malware para outro grupo vinculado à Coreia do Norte, codinome Jade Sleet (também conhecido como TraderTraitor e UNC4899), que foi implicado no hack do JumpCloud no ano passado.

Outros ataques detectados pela Microsoft desde fevereiro de 2024 utilizaram um jogo de tanques malicioso chamado DeTankWar, distribuído para alvos por e-mail ou plataformas de mensagens, enquanto emprestava uma camada de legitimidade configurando sites falsos e contas em X (anteriormente Twitter).

“O Moonstone Sleet normalmente aborda seus alvos por meio de plataformas de mensagens ou por e-mail, se apresentando como um desenvolvedor de jogos em busca de investimento ou suporte de desenvolvedor e se disfarçando como uma empresa legítima de blockchain ou usando empresas falsas”, disseram os pesquisadores da Microsoft.

“O Moonstone Sleet usou uma empresa falsa chamada C.C. Waterfall para entrar em contato com os alvos. O e-mail apresentou o jogo como um projeto relacionado a blockchain e ofereceu ao alvo a oportunidade de colaborar, com um link para baixar o jogo incluído no corpo da mensagem.”

O suposto jogo (“delfi-tank-unity.exe”) vem equipado com um carregador de malware chamado YouieLoad, capaz de carregar cargas em estágios seguintes na memória e criar serviços maliciosos para descoberta de rede e usuário, além de coleta de dados do navegador.

Outra empresa fictícia – completa com um domínio personalizado, personas de funcionários falsos e contas de redes sociais – criada pelo Moonstone Sleet para suas campanhas de engenharia social é a StarGlow Ventures, que se disfarçou como uma empresa legítima de desenvolvimento de software para entrar em contato com possíveis alvos para colaboração em projetos relacionados a aplicativos web, aplicativos móveis, blockchain e IA.

Embora o final dessa campanha, que ocorreu de janeiro a abril de 2024, não seja claro, o fato de as mensagens de e-mail virem embutidas com um pixel de rastreamento levanta a possibilidade de que tenham sido usadas como parte de um exercício de construção de confiança e para determinar quais dos destinatários interagiram com os e-mails para futuras oportunidades de geração de receita.

A mais recente ferramenta no arsenal do adversário é uma variante de ransomware personalizado chamado FakePenny que foi encontrado implantado contra uma empresa de tecnologia de defesa não nomeada em abril de 2024, em troca de um resgate de 6,6 milhões de dólares em Bitcoin.

O uso de ransomware é mais uma tática retirada diretamente do playbook do Andariel (também conhecido como Onyx Sleet), um subgrupo operando sob o guarda-chuva do Lazarus conhecido por famílias de ransomware como H0lyGh0st e Maui.

Além de adotar medidas de segurança necessárias para se defender contra ataques do ator de ameaças, a Redmond está instando empresas de software a ficar atentas a ataques na cadeia de suprimentos, dada a propensão de grupos de hackers da Coreia do Norte por envenenar a cadeia de suprimentos de software para conduzir operações maliciosas generalizadas.

“O diverso conjunto de táticas do Moonstone Sleet é notável não apenas por sua eficácia, mas porque evoluíram de várias outras ameaças norte-coreanas ao longo dos anos para atender aos objetivos cibernéticos da Coreia do Norte”, disse a empresa.

A divulgação ocorre quando a Coreia do Sul acusou sua contraparte do norte, especialmente o Grupo Lazarus, de roubar 1.014 gigabytes de dados e documentos, como nomes, números de registro de residentes e registros financeiros, de uma rede de tribunais de 7 de janeiro de 2021 a 9 de fevereiro de 2023, informou o Korea JoongAng Daily no início deste mês.

(O texto foi atualizado após a publicação em 1 de junho de 2024, para incluir um comentário da Palo Alto Networks Unit 42 sobre o Contagious Interview.)