В США обвинили хакера, связанного с северокорейской группировкой Onyx Sleet

Группировка Onyx Sleet, впервые замеченная Microsoft в 2014 году, изначально специализировалась на кибершпионаже с целью сбора разведывательной информации. Однако в последнее время её цели расширились и теперь включают финансовую выгоду. Этот актор использует обширный набор собственных инструментов и вредоносных программ, постоянно развивая свой арсенал. Группировка регулярно добавляет новые функции и совершенствует методы уклонения от обнаружения, сохраняя при этом единообразную схему атак. Способность Onyx Sleet разрабатывать широкий спектр инструментов для запуска проверенной цепочки компрометации делает её постоянной угрозой, особенно для целей, представляющих интерес для северокорейских спецслужб.

К таким целям традиционно относятся организации в оборонной, инженерной и энергетической отраслях. Microsoft отслеживает кампании, связанные с Onyx Sleet, и напрямую уведомляет клиентов, которые были атакованы или скомпрометированы, предоставляя им информацию для защиты своих сред. Основная цель Onyx Sleet - сбор разведданных, и группировка фокусируется на объектах в сфере обороны и энергетики, преимущественно в Индии, Южной Корее и США. Недавние атаки включали нацеливание на южнокорейские образовательные учреждения, строительные компании и производственные организации в мае 2024 года. Также была отмечена активность, связанная с онлайн-казино, возможно, для финансовой выгоды.

Исторически Onyx Sleet использовала целенаправленную рассылку фишинговых писем (spear-phishing) для компрометации целей. В более поздних кампаниях группировка в основном использовала уязвимости для получения первоначального доступа. Например, в октябре 2023 года она эксплуатировала уязвимость CVE-2023-42793 в TeamCity, что позволило выполнить удалённое выполнение кода и получить административный контроль над сервером. Помимо этой уязвимости, актор использовал и другие общеизвестные уязвимости, такие как CVE-2023-46604 в Apache ActiveMQ и CVE-2023-22515 в Confluence.

Onyx Sleet разрабатывает и использует спектр инструментов, от собственных до открытого исходного кода. Группировка создала обширный набор собственных троянов удалённого доступа, которые использует в кампаниях, и регулярно разрабатывает новые их варианты. Для командования и управления часто используются арендованные виртуальные частные серверы и скомпрометированная облачная инфраструктура. Microsoft также наблюдала использование группировкой готовых инструментов, включая фреймворк Sliver, средства удалённого мониторинга и управления, прокси-инструменты SOCKS, Ngrok и masscan. Для обфускации вредоносного ПО применялись коммерческие упаковщики, такие как Themida и VMProtect.

Группировка демонстрирует связи с другими северокорейскими акторами, что указывает на её интеграцию в более широкую сеть киберопераций. Microsoft наблюдала пересечение между Onyx Sleet и группировкой Storm-0530. Обе группы были замечены в работе в рамках одной инфраструктуры и участвовали в разработке и использовании программ-вымогателей в атаках в конце 2021 и 2022 годов. Onyx Sleet также отслеживается другими компаниями безопасности под именами APT45, SILENT CHOLLIMA, Andariel, DarkSeoul, Stonefly и TDrop2.

Тактика, техники и процедуры группировки оставались относительно неизменными в течение длительного времени, что говорит о её уверенности в эффективности своих методов. Типичная цепочка атаки включает получение первоначального доступа через эксплуатацию уязвимостей, загрузчик вредоносного кода (loader), загрузчик файлов (downloader) и бэкдор. При этом Onyx Sleet вносит изменения, добавляя новые серверы командования и управления, создавая новое вредоносное ПО и запуская множество кампаний. В прошлом группировка внедряла в кампании собственные варианты программ-вымогателей. Она также создала и использовала троян Dtrack, который наблюдался в глобальных атаках с сентября 2019 по январь 2024 года.

Ещё одним примером вариаций в атаке стала кампания, обнаруженная в мае 2024 года, в которой использовалось ранее неизвестное вредоносное ПО под названием Dora RAT. Оно было разработано на языке Go и нацелено на южнокорейские организации. Onyx Sleet активно использует собственные алгоритмы шифрования и обфускации, а также старается запускать как можно больше кода в памяти, чтобы избежать обнаружения.

В декабре 2023 года южнокорейские власти связали атаки, в ходе которых с помощью специального вредоносного ПО было похищено более 1,2 ТБ данных у оборонных подрядчиков, с группировкой Andariel. Microsoft связала несколько семейств вредоносных программ, использовавшихся в этих атаках, с Onyx Sleet. Среди них TigerRAT, SmallTiger, LightHand и ValidAlpha.

TigerRAT используется с 2020 года и способен красть конфиденциальную информацию и выполнять команды, такие как регистрация нажатий клавиш и запись экрана. SmallTiger, обнаруженный в феврале 2024 года, представляет собой бэкдор на C++ со слоистой обфускацией. LightHand - это лёгкий бэкдор для удалённого доступа, позволяющий выполнять произвольные команды и управлять файлами. ValidAlpha, также известный как BlackRAT, разработан на Go и нацелен на глобальные организации в энергетической, оборонной и инженерной сферах.

Таким образом, обвинение, выдвинутое Министерством юстиции США, подчёркивает постоянную и развивающуюся угрозу со стороны северокорейских кибергруппировок. Деятельность Onyx Sleet демонстрирует чёткую эволюцию от классического шпионажа к комбинированным операциям, включающим финансовые мотивы. Использование как устаревших, так и самых современных уязвимостей, сочетание собственных и общедоступных инструментов, а также адаптация под конкретные цели делают эту группировку сложным противником. Сотрудничество между частным сектором, в лице Microsoft, и правоохранительными органами, такими как ФБР, остаётся критически важным для отслеживания подобных угроз и привлечения виновных к ответственности.

IPv4

• 109.248.150.147
• 147.78.149.201
• 162.19.71.175
• 213.139.205.151
• 45.155.37.101
• 84.38.134.56

Domains

• advice.uphearth.com
• americajobmail.site
• privatemake.bounceme.net
• ww3c.bounceme.net

URLs

• http://84.38.134.56/procdump.gif

SHA256

• 0837dd54268c373069fc5c1628c6e3d75eb99c3b3efc94c45b73e2cf9a6f3207
• 1b88b939e5ec186b2d19aec8f17792d493d74dd6ab3d5a6ddc42bfe78b01aff1
• 29c6044d65af0073424ccc01abcb8411cbdc52720cac957a3012773c4380bab3
• 3098e6e7ae23b3b8637677da7bfc0ba720e557e6df71fa54a8ef1579b6746061
• 7339cfa5a67f5a4261c18839ef971d7f96eaf60a46190cab590b439c71c4742b
• 868a62feff8b46466e9d63b83135a7987bf6d332c13739aa11b747b3e2ad4bbf
• 8daa6b20caf4bf384cc7912a73f243ce6e2f07a5cb3b3e95303db931c3fe339f
• c1a09024504a5ec422cbea68e17dffc46472d3c2d73f83aa0741a89528a45cd1
• c2500a6e12f22b16e221ba01952b69c92278cd05632283d8b84c55c916efe27c
• f1662bee722a4e25614ed30933b0ced17b752d99fae868fbb326a46afa2282d5
• f32f6b229913d68daad937cc72a57aa45291a9d623109ed48938815aa7b6005c
• fed94f461145681dc9347b382497a72542424c64b6ae6fcf945f4becd2d46c32