Um novo grupo de ameaças norte-coreano, codinome Moonstone Sleet, foi identificado como responsável por ataques cibernéticos direcionados a indivíduos e organizações nos setores de software, tecnologia da informação, educação e defesa, utilizando ransomware e malware personalizado anteriormente associado ao infame grupo Lazarus.
Moonstone Sleet é observado criando empresas e oportunidades de emprego falsas para interagir com possíveis alvos, empregando versões trojanizadas de ferramentas legítimas, criando um jogo malicioso e entregando um novo ransomware personalizado, de acordo com uma nova análise da equipe de Inteligência de Ameaças da Microsoft.
O grupo de ameaças é caracterizado pelo uso de técnicas bem conhecidas por outros grupos de ameaças norte-coreanos, combinadas com metodologias de ataque únicas para alcançar seus objetivos estratégicos.
O adversário, até então rastreado pela Microsoft sob o nome de aglomerado emergente Storm-1789, é avaliado como um grupo alinhado ao estado que originalmente exibia fortes sobreposições táticas com o grupo Lazarus (também conhecido como Diamond Sleet), antes de estabelecer sua própria identidade distinta por meio de infraestrutura e técnicas exclusivas.
As semelhanças com o Lazarus incluem a reutilização extensiva de códigos de malware conhecidos, como o Comebacker, que foi observado pela primeira vez em janeiro de 2021 em conexão com uma campanha direcionada a pesquisadores de segurança que trabalhavam em pesquisa e desenvolvimento de vulnerabilidades.
Comebacker foi utilizado pelo Grupo Lazarus tão recentemente quanto fevereiro deste ano, incorporando-o em pacotes Python e npm aparentemente inofensivos para estabelecer contato com um servidor de comando e controle (C2) para recuperar cargas adicionais.
Para apoiar seus diversos objetivos, o Moonstone Sleet também é conhecido por buscar emprego em posições de desenvolvimento de software em diversas empresas legítimas, provavelmente na tentativa de gerar receitas ilícitas para o país atingido por sanções ou obter acesso clandestino a organizações.
As cadeias de ataque observadas em agosto de 2023 envolveram o uso de uma versão modificada do PuTTY – uma tática adotada pelo Grupo Lazarus no final de 2022 como parte da Operação Dream Job – via LinkedIn e Telegram, bem como plataformas de freelancers de desenvolvimento.
Com frequência, o ator enviava aos alvos um arquivo .ZIP contendo dois arquivos: uma versão trojanizada de putty.exe e url.txt, que continha um endereço IP e uma senha. Se o IP e a senha fornecidos fossem inseridos pelo usuário no aplicativo PuTTY, o aplicativo descriptografaria uma carga útil incorporada, em seguida, a carregaria e a executaria.
O executável PuTTY trojano é projetado para deixar um instalador personalizado chamado SplitLoader, que inicia uma sequência de estágios intermediários para finalmente lançar um carregador de Trojan responsável por executar um executável recebido de um servidor C2.
Sequências de ataques alternativas envolveram o uso de pacotes npm maliciosos entregues por meio do LinkedIn ou sites de freelancers, frequentemente se disfarçando como uma empresa falsa para enviar arquivos .ZIP invocando um pacote npm malicioso sob o pretexto de uma avaliação de habilidades técnicas.
Esses pacotes npm são configurados para se conectar a um endereço IP controlado pelo ator e soltar cargas semelhantes ao SplitLoader, ou facilitar o roubo de credenciais do processo do Subsistema de Segurança Local do Windows (LSASS).
Vale ressaltar que o direcionamento de desenvolvedores npm usando pacotes falsos foi associado a uma campanha documentada anteriormente pela Palo Alto Networks Unit 42 sob o nome de Contagious Interview. A Microsoft está rastreando a atividade sob o nome Storm-1877.
Michael Sikorski, vice-presidente e CTO da Unit 42, disse ao The Hacker News que ainda estão realizando análises, mas observou que não há “sobreposição direta” entre Moonstone Sleet e Contagious Interview.
Pacotes npm maliciosos também foram um vetor de entrega de malware para outro grupo ligado à Coreia do Norte, codinome Jade Sleet (também conhecido como TraderTraitor e UNC4899), que foi implicado no hack do JumpCloud no ano passado.
Ataques detectados pela Microsoft desde fevereiro de 2024 utilizaram um jogo de tanques malicioso chamado DeTankWar (também conhecido como DeFiTankWar, DeTankZone e TankWarsZone) distribuído para alvos por e-mail ou plataformas de mensagens, enquanto emprestava uma camada de legitimidade criando sites e contas falsas na rede social X.
O Moonstone Sleet normalmente aborda seus alvos por meio de plataformas de mensagens ou por e-mail, se apresentando como desenvolvedor de jogos em busca de investimento ou apoio de desenvolvedores e se disfarçando como uma empresa de tecnologia blockchain legítima ou usando empresas falsas.
Moonstone Sleet usou uma empresa falsa chamada C.C. Waterfall para contatar os alvos. O e-mail apresentava o jogo como um projeto relacionado à blockchain e oferecia ao alvo a oportunidade de colaborar, com um link para baixar o jogo incluído no corpo da mensagem.
O suposto jogo (“delfi-tank-unity.exe”) vem com um carregador de malware chamado YouieLoad, capaz de carregar cargas de próxima etapa na memória, criar serviços maliciosos para descoberta de rede e usuário e coleta de dados do navegador.
Outra empresa inexistente – completa com um domínio personalizado, personas falsas de funcionários e contas de mídia social – criada pelo Moonstone Sleet para suas campanhas de engenharia social é a StarGlow Ventures, que se disfarçava como uma empresa legítima de desenvolvimento de software para entrar em contato com alvos em potencial para colaboração em projetos relacionados a aplicativos web, aplicativos móveis, blockchain e IA.
Embora o fim dessa campanha, que ocorreu de janeiro a abril de 2024, não esteja claro, o fato de que as mensagens de e-mail continham um pixel de rastreamento levanta a possibilidade de que possa ter sido usado como parte de um exercício de criação de confiança e para determinar quais dos destinatários se envolveram nos e-mails para futuras oportunidades de geração de receita.
A mais recente ferramenta no arsenal do adversário é uma variante customizada de ransomware chamada FakePenny que foi implantada contra uma empresa de tecnologia de defesa não identificada em abril de 2024 em troca de um resgate de US$ 6,6 milhões em Bitcoin.
O uso de ransomware é outra tática retirada do playbook de Andariel (também conhecido como Onyx Sleet), um subgrupo dentro do guarda-chuva do Lazarus conhecido por famílias de ransomware como H0lyGh0st e Maui.
Além de adotar medidas de segurança necessárias para se defender de ataques pelo grupo de ameaças, a Microsoft está instando as empresas de software a ficar atentas a ataques à cadeia de suprimentos, dada a propensão dos grupos de hackers norte-coreanos para envenenar a cadeia de suprimentos de software para conduzir operações maliciosas em larga escala.
“O conjunto diversificado de táticas do Moonstone Sleet é notável não apenas por sua eficácia, mas também pela evolução ao longo de muitos anos de atividades de vários outros grupos de ameaças norte-coreanos para atender aos objetivos cibernéticos norte-coreanos”, disse a empresa.
A divulgação ocorre após a Coreia do Sul acusar seu vizinho do norte, em particular o Grupo Lazarus, de roubar 1.014 gigabytes de dados e documentos, como nomes, números de registro de residentes e registros financeiros, de uma rede judicial de 7 de janeiro de 2021 a 9 de fevereiro de 2023, conforme relatado pelo Korea JoongAng Daily no início deste mês.
(A história foi atualizada após a publicação em 1 de junho de 2024 para incluir um comentário da Palo Alto Networks Unit 42 sobre Contagious Interview.)