Впервые замеченная Microsoft в 2014 году, Onyx Sleet осуществляла кибершпионаж посредством многочисленных кампаний, направленных на глобальные цели с целью сбора разведданных.
В последнее время она расширила свои цели, включив в них получение финансовой выгоды. Этот злоумышленник оперирует обширным набором пользовательских инструментов и вредоносных программ, регулярно совершенствует свой инструментарий, добавляя новые функции и уклоняясь от обнаружения, сохраняя при этом довольно единообразную схему атак. Способность Onyx Sleet разрабатывать целый спектр инструментов для запуска своей проверенной цепочки атак делает ее постоянной угрозой, особенно для целей, представляющих интерес для северокорейской разведки, таких как организации в оборонном, инженерном и энергетическом секторах.
Onyx Sleet
Onyx Sleet - злоумышленник, занимающийся кибершпионажем, основной целью которого является сбор разведывательных данных в области военных, оборонных и технологических отраслей. Он сосредоточен на атаках преимущественно в Индии, Южной Корее и США. Исторически он использовал фишинг, но в последних кампаниях начал использовать общедоступные и пользовательские эксплойты для получения доступа. В октябре 2023 года была использована уязвимость TeamCity CVE-2023-42793 для атаки на сервер.
Onyx Sleet использует широкий спектр инструментов, включая пользовательские трояны удаленного доступа (RAT), которые регулярно обновляются, чтобы обойти обнаружение. Он также использует виртуальные частные серверы и взломанную облачную инфраструктуру для командно-контрольных операций.
Его связывают с другими северокорейскими киберпреступниками и он продемонстрировал связь с группой Storm-0530, с которой он активно использовал программы-вымогатели.
Главная цель Onyx Sleet - сбор разведывательных данных. Он сосредоточен на атаках на предприятия оборонной и энергетической промышленности, особенно в Индии, Южной Корее и США. Он также проявляет интерес к использованию сайтов азартных игр, возможно, для финансовой выгоды.
Onyx Sleet использует долгое время одну и ту же тактику, технику и процедуры. Недавние кампании Onyx Sleet включают использование Dtrack RAT, которая использует уязвимость Log4j 2 CVE-2021-44228 для получения доступа.
Onyx Sleet применяет алгоритмы шифрования и обфускации для избегания обнаружения во время атаки. Он также использует готовые инструменты, включая Sliver, программы-прокси и упаковщики, чтобы скрыть свою вредоносную программу.
Onyx Sleet продолжает изменять свою цепочку атак, включая добавление новых C2-серверов, хостинговых IP и вредоносного ПО. Он также применяет новые методы, такие как использование вредоносной программы Dora RAT, написанной на языке программирования Go, для атак на учреждения Южной Кореи.
Indicators of Compromise
IPv4
- 109.248.150.147
- 147.78.149.201
- 162.19.71.175
- 213.139.205.151
- 45.155.37.101
- 84.38.134.56
Domains
- advice.uphearth.com
- americajobmail.site
- privatemake.bounceme.net
- ww3c.bounceme.net
URLs
- http://84.38.134.56/procdump.gif
SHA256
- 0837dd54268c373069fc5c1628c6e3d75eb99c3b3efc94c45b73e2cf9a6f3207
- 1b88b939e5ec186b2d19aec8f17792d493d74dd6ab3d5a6ddc42bfe78b01aff1
- 29c6044d65af0073424ccc01abcb8411cbdc52720cac957a3012773c4380bab3
- 3098e6e7ae23b3b8637677da7bfc0ba720e557e6df71fa54a8ef1579b6746061
- 7339cfa5a67f5a4261c18839ef971d7f96eaf60a46190cab590b439c71c4742b
- 868a62feff8b46466e9d63b83135a7987bf6d332c13739aa11b747b3e2ad4bbf
- 8daa6b20caf4bf384cc7912a73f243ce6e2f07a5cb3b3e95303db931c3fe339f
- c1a09024504a5ec422cbea68e17dffc46472d3c2d73f83aa0741a89528a45cd1
- c2500a6e12f22b16e221ba01952b69c92278cd05632283d8b84c55c916efe27c
- f1662bee722a4e25614ed30933b0ced17b752d99fae868fbb326a46afa2282d5
- f32f6b229913d68daad937cc72a57aa45291a9d623109ed48938815aa7b6005c
- fed94f461145681dc9347b382497a72542424c64b6ae6fcf945f4becd2d46c32
