Эта группа всегда полагалась на инструменты с открытым исходным кодом и не имела каких-либо отличительных характеристик для их профилирования из-за отсутствия информации о PDB. Кроме того, количество информации, которую можно было собрать, было ограничено, если только пострадавшие корейские компании специально не попросили провести расследование, поскольку сервер C2 (Command&Control) агента угроз злоупотреблял серверами корейских компаний.
Dalbit (m00nlight) APT
Однако после того как часть серверов корейских компаний, используемых агентом угрозы, была заблокирована, агент угрозы начал использовать хостинг-сервер под названием "*.m00nlight.top" в качестве своего C2 и сервера загрузки. Таким образом, команда ASEC решила назвать эту группу Dalbit (m00nlight.top) в честь корейского слова, означающего "лунный свет".
С 2022 года эта группа совершила более 50 подтвержденных попыток атак на корейские компании. Большинство атакованных компаний были средними и малыми, а часть - крупными. Группа подтвердила, что 30% зараженных компаний использовали определенное корейское решение для группового ПО. В настоящее время трудно проверить, имеет ли этот продукт группового ПО уязвимость или нет, но если сервер, который подвергается такой опасности, имеет уязвимость, то есть шанс, что компании могут серьезно пострадать в результате утечки конфиденциальной информации и действия вымогательского ПО. Более того, эта группа Dalbit оставляет некоторые зараженные компании в качестве прокси-серверов и серверов загрузки, чтобы впоследствии использовать их как средство связи с субъектом угрозы при проникновении в другую компанию.
Поэтому мы настоятельно рекомендуем провести внутреннюю проверку безопасности, если пользователи подозревают, что они подверглись атаке этой группы Dalbit.
Первоначальный доступ
Объектом угрозы являются веб-серверы или SQL-серверы, к которым они получают доступ, используя уязвимости. Затем они пытаются контролировать системы с помощью таких инструментов, как WebShell.
Командование и контроль
Через WebShell загружаются различные инструменты взлома. Инструменты взлома включают различные двоичные файлы, такие как инструменты повышения привилегий, прокси-инструменты и инструменты сканирования сети.
Прокси и внутренняя разведка
Прокси: Угрожающий агент устанавливает прокси-инструмент, такой как FRP (Fast Reverse Proxy), перед попыткой подключения к 2-1) хостинг-серверу, созданному угрожающим агентом, или 2-2) серверу другой ранее зараженной компании (компании А) через удаленный рабочий стол (RDP).
Внутренняя разведка: Для внутренней разведки и получения информации используются такие инструменты, как средства сканирования сети и инструменты для кражи учетных записей.
Боковое перемещение
Полученная информация используется для перемещения на другой подключаемый сервер или ПК. После этого на ПК, который был успешно достигнут в результате латерального перемещения, также устанавливается прокси-инструмент (FRP), создавая среду, позволяющую субъекту угрозы подключиться через RDP. Затем необходимый уровень привилегий приобретается либо путем добавления определенной учетной записи, либо с помощью инструмента для кражи учетных данных, например, Mimikatz.
Последствия
В конечном итоге, после того как угрожающий субъект похищает всю необходимую информацию, он использует BitLocker для блокировки определенных дисков и требует выкуп.
Indicators of Compromise
IPv4
- 101.43.121.50
- 103.118.42.208
- 205.185.122.95
- 45.136.186.19
- 45.93.31.122
- 45.93.31.75
- 91.217.139.117
IPv4 Port Combinations
- 45.136.186.175:443
- 45.93.28.103:8080
- 45.93.31.75:7777
URLs
- http://sk1.m00nlight.top:80
- https://fk.m00nlight.top:443
- https://aa.zxcss.com:443
MD5
- 011cedd9932207ee5539895e2a1ed60a
- 0311ee1452a19b97e626d24751375652
- 0359a857a22c8e93bc43caea07d07e23
- 059d98dcb83be037cd9829d31c096dab
- 07191f554ed5d9025bc85ee1bf51f975
- 0bbfaea19c8d1444ae282ff5911a527b
- 0ca345bc074fa2ef7a2797b875b6cd4d
- 0cc22fd05a3e771b09b584db0a161363
- 10f4a1df9c3f1388f9c74eb4cdf24e7c
- 1aca4310315d79e70168f15930cc3308
- 1f2432ec77b750aa3e3f72c866584dc3
- 21c7b2e6e0fb603c5fdd33781ac84b8f
- 21d268341884c4fc62b5af7a3b433d90
- 22381941763862631070e043d4dd0dc2
- 23c0500a69b71d5942585bb87559fe83
- 27ec6fb6739c4886b3c9e21b6b9041b6
- 2866f3c8dfd5698e7c58d166a5857e1e
- 28e026b9550e4eb37435013425abfa38
- 29274ca90e6dcf5ae4762739fcbadf01
- 2c3de1cefe5cd2a5315a9c9970277bd7
- 2ceabffe2d40714e5535212d46d78119
- 31c4a3f16baa5e0437fdd4603987b812
- 323a36c23e61c6b37f28abfd5b7e5dfe
- 33129e959221bf9d5211710747fddabe
- 3665d512be2e9d31fc931912d5c6900e
- 3cbea05bf7a1affb821e379b1966d89c
- 3dc8b64b498220612a43d36049f055ab
- 46f366e3ee36c05ab5a7a319319f7c72
- 48b99c2f0441f5a4794afb4f89610e48
- 4bafbdca775375283a90f47952e182d9
- 4eb5eb52061cc8cf06e28e7eb20cd055
- 4fc81fd5ac488b677a4c0ce5c272ffe3
- 52ff6e3e942ac8ee012dcde89e7a1116
- 53271b2ab6c327a68e78a7c0bf9f4044
- 5d33609af27ea092f80aff1af6ddf98d
- 5e0845a9f08c1cfc7966824758b6953a
- 612585fa3ada349a02bc97d4c60de784
- 61a687b0bea0ef97224c7bd2df118b87
- 622f060fce624bdca9a427c3edec1663
- 678dbe60e15d913fb363c8722bde313d
- 68403cc3a6fcbeb9e5e9f7263d04c02f
- 6983f7001de10f4d19fc2d794c3eb534
- 69c7d9025fa3841c4cd69db1353179cf
- 6a20945ae9f7c9e1a28015e40758bb4f
- 6b4c7ea91d5696369dd0a848586f0b28
- 6b5bccf615bf634b0e55a86a9c24c902
- 7307c6900952d4ef385231179c0a05e4
- 75fe1b6536e94aaee132c8d022e14f85
- 784becfb944dec42cccf75c8cf2b97e3
- 7b40aa57e1c61ecd6db2a1c18e08b0af
- 7bd775395b821e158a6961c573e6fd43
- 7ce988f1b593e96206a1ef57eb1bec8a
- 7d9c233b8c9e3f0ea290d2b84593c842
- 80f421c5fd5b28fc05b485de4f7896a1
- 85a6e4448f4e5be1aa135861a2c35d35
- 87e5c9f3127f29465ae04b9160756c62
- 88bef25e4958d0a198a2cc0d921e4384
- 8de8dfcb99621b21bf66a3ef2fcd8138
- 937435bbcbc3670430bb762c56c7b329
- 942d949a28b2921fb980e2d659e6ef75
- 96b23ff19a945fad77dd4dd6d166faaa
- 9b0e4652a0317e6e4da66f29a74b5ad7
- 9f55b31c66a01953c17eea6ace66f636
- 9fe61c9538f2df492dff1aab0f90579f
- a03b57cc0103316e974bbb0f159f78f6
- a29f39713ce6a92e642d14374e7203f0
- a69d3580921ec8adce64c9b38ac3653a
- ab9091f25a5ad44bef898588764f1990
- acacf51ceef8943f0ee40fc181b6f1fa
- ae8acf66bfe3a44148964048b826d005
- af002abd289296572d8afadfca809294
- b33a27bfbe7677df4a465dfa9795ff4a
- b434df66d0dd15c2f5e5b2975f2cfbe2
- b5bdf2de230722e1fe63d88d8f628ebc
- b998a39b31ad9b409d68dcb74ac6d97d
- bb8bdb3e8c92e97e2f63626bc3b254c4
- bc744a4bf1c158dba37276bf7db50d85
- bcfca13c801608a82a0924f787a19e1d
- c0452b18695644134a1e38af0e974172
- c17cfe533f8ce24f0e41bd7e14a35e5e
- c44457653b2c69933e04734fe31ff699
- c4e39c1fc0e1b165319fa533a9795c44
- c4f18576fd1177ba1ef54e884cb7a79d
- c72750485db39d0c04469cd6b100a595
- c802dd3d8732d9834c5a558e9d39ed37
- c87ac56d434195c527d3358e12e2b2e0
- c908340bf152b96dc0f270eb6d39437f
- cbee2fd458ff686a4cd2dde42306bba1
- cca50cdd843aa824e5eef5f05e74f4a5
- d331602d190c0963ec83e46f5a5cd54a
- d4d8c9be9a4a6499d254e845c6835f5f
- d5054ed83e63f911be46b3ff8af82267
- d6cb8b66f7a9f3b26b4a98acb2f9d0c5
- d82481e9bc50d9d9aeb9d56072bf3cfe
- d8d36f17b50c8a37c2201fbb0672200a
- df8f2dc27cbbd10d944210b19f97dafd
- e0f4afe374d75608d604fbf108eac64f
- e31b7d841b1865e11eab056e70416f1a
- e3af60f483774014c43a7617c44d05e7
- e5b626c4b172065005d04205b026e446
- e7b7bf4c2ed49575bedabdce2385c8d5
- e981219f6ba673e977c5c1771f86b189
- e9bd5ed33a573bd5d9c4e071567808e5
- edb685194f2fcd6a92f6e909dee7a237
- f01a9a2d1e31332ed36c1a4d2839f412
- f5271a6d909091527ed9f30eafa0ded6
- f6da8dc4e1226aa2d0dabc32acd06915
- f6f0d44aa5e3d83bb1ac777c9cea7060
- f978d05f1ebeb5df334f395d58a7e108
- fb6bf74c6c1f2482e914816d6e97ce09
- fbae6c3769ed4ae4eccaff76af7e7dfe
- fc9abba1f212db8eeac7734056b81a6e
- fca13226da57b33f95bf3faad1004ee0
- fcb7f7dab6d401a17bd436fc12a84623
- fd0f73dd80d15626602c08b90529d9fd