Microsoft обнаружила нового северокорейского агента угроз, который известен как Moonstone Sleet. Этот агент использует сочетание проверенных методов, применяемых другими северокорейскими угрозами, а также уникальные методики атак для достижения своих финансовых и кибершпионских целей. Moonstone Sleet создает поддельные компании и вакансии, использует троянизированные версии легитимных инструментов, создает вредоносные игры и поставляет пользовательскую программу-вымогатель. Этот агент использует техники, методы и процедуры, которые ранее применялись другими северокорейскими угрозами. Он создает собственную инфраструктуру и проводит собственные атаки, обладая достаточными ресурсами.
В одной из кампаний агент угроз Moonstone Sleet использовал троянизированную версию PuTTY, эмулятора терминала с открытым исходным кодом. Он поставлял это вредоносное ПО через популярные приложения, такие как LinkedIn и Telegram. Если пользователь вводил IP-адрес и пароль в приложение PuTTY, вредоносная программа распаковывала и выполняла свою полезную нагрузку. Moonstone Sleet также использовал другие пользовательские загрузчики вредоносного ПО, которые поставлялись через PuTTY и действовали аналогично.
Microsoft наблюдала сходство между Moonstone Sleet и группой Diamond Sleet, но впоследствии Moonstone Sleet перешла на собственные методы и инфраструктуру. Однако Moonstone Sleet все еще использует некоторые известные и устоявшиеся методы атак, которые использовал Diamond Sleet.
Moonstone Sleet является угрожающим субъектом, имеющим государственную принадлежность к Северной Корее. Он имеет обширный набор операций, которые поддерживают его финансовые и кибершпионские цели. Эти операции включают развертывание программ-вымогателей, создание вредоносных игр, создание поддельных компаний и использование ИТ-работников. Компания Microsoft рекомендует организациям принимать соответствующие меры для защиты от таких атак и следить за новостями в области кибербезопасности.
Indicators of Compromise
Domains
- bestonlinefilmstudio.org
- blockchain-newtech.com
- ccwaterfall.com
- chaingrown.com
- defitankzone.com
- detankwar.com
- freenet-zhilly.org
- matrixane.com
- mingeloem.com
- pointdnt.com
- starglowventures.com
SHA256
- 09d152aa2b6261e3b0a1d1c19fa8032f215932186829cfcca954cc5e84a6cc38
- 39d7407e76080ec5d838c8ebca5182f3ac4a5f416ff7bda9cbc4efffd78b4ff5
- 56554117d96d12bd3504ebef2a8f28e790dd1fe583c33ad58ccbf614313ead8c
- 70c5b64589277ace59db86d19d846a9236214b48aacabbaf880f2b6355ab5260
- 9863173e0a45318f776e36b1a8529380362af8f3e73a2b4875e30d31ad7bd3c1
- cafaa7bc3277711509dc0800ed53b82f645e86c195e85fbf34430bbc75c39c24
- cb97ec024c04150ad419d1af2d1eb66b5c48ab5f345409d9d791db574981a3fb
- ecce739b556f26de07adbfc660a958ba2dca432f70a8c4dd01466141a6551146
- f59035192098e44b86c4648a0de4078edbe80352260276f4755d15d354f5fc58
- f66122a3e1eaa7dcb7c13838037573dace4e5a1c474a23006417274c0c8608be
