Microsoft, Moonstone Sleet kimi izlədiyi Şimali Koreyalı haker qrupunu milyonlarla dollar fidyə tələbinə səbəb olan FakePenny ransomware hücumları ilə əlaqələndirdi.
Bu təhdid qrupunun taktikaları, texnikaları və prosedurları (TTP) digər Şimali Koreya hücumçularınınki ilə böyük ölçüdə üst-üstə düşsə də, o, yavaş-yavaş yeni hücum üsullarını, eləcə də öz fərdi infrastrukturunu və alətlərini mənimsəmişdir.
Əvvəllər Storm-17 kimi izlənilən Moonstone Sleet həm maliyyə, həm də kibercasusluq hədəflərinə troyanlaşdırılmış proqram təminatı (məsələn, PuTTY), zərərli oyunlar və npm paketləri, xüsusi zərərli proqram yükləyiciləri və LinkedIn, Telegram, freelancing şəbəkələrində potensial qurbanlarla qarşılıqlı əlaqə yaratmaq üçün yaradılmış saxta proqram təminatı inkişaf etdirmə şirkətlərindən (məsələn, StarGlow Ventures, C.C. Waterfall) istifadə edərək hücum etdiyi müşahidə edilib.
“Microsoft ilk dəfə Moonstone Sleet fəaliyyətini aşkar etdikdə, aktyor Diamond Sleet ilə güclü üst-üstə düşdüyünü nümayiş etdirdi, Comebacker kimi tanınmış Diamond Sleet zərərli proqram təminatının kodundan geniş şəkildə təkrar istifadə etdi və təşkilatlara giriş əldə etmək üçün yaxşı qurulmuş Diamond Sleet üsullarından istifadə etdi, məsələn, troyanlaşdırılmış proqram təminatını çatdırmaq üçün sosial mediadan istifadə etdi. “, – Microsoft bildirib.
“Lakin, Moonstone Sleet tez bir zamanda özünəməxsus infrastruktura və hücumlara keçdi. Sonradan, Microsoft Moonstone Sleet və Diamond Sleet-in eyni vaxtda əməliyyatlar apardığını müşahidə etdi və Diamond Sleet hələ də özünün tanınmış, qurulmuş ticarət sənətinin çoxundan istifadə edir.”
Şimali Koreya ransomware ilə əlaqəsi
Təhdid aktyorları ilk dəfə qurbanın şəbəkəsini pozduqdan iki ay sonra aprel ayında yeni fərdi FakePenny ransomware variantını yerləşdirərkən görüldülər.
Bununla belə, Şimali Koreya dövlət hakerləri tərəfindən koordinasiya edilən və qurbanlardan $100.000 ödəmələrinin istəndiyi əvvəlki ransomware hücumlarından fərqli olaraq, Moonstone Sleet hücumçularının tələb etdiyi fidyə BTC-də $6,6 milyon idi.
Microsoft-un bu hücumu qiymətləndirməsi belə nəticəyə gəldi ki, Moonstone Sleet-in ransomware proqramını yerləşdirmək üçün əsas motivasiyası maliyyə gəliri olub. Qrupun kibercasusluq hücumlarında əvvəllər iştirakı göstərir ki, onların hücumları gəlir əldə etmək və kəşfiyyat məlumatlarının toplanmasına yönəlib.
İlk müşahidə edildiyi vaxtdan qrup proqram təminatı və informasiya texnologiyaları, təhsil və müdafiə sənayesi bazası sektorlarında fərdlər və təşkilatlar da daxil olmaqla bir çox sənaye şaquli istiqamətlərini hədəfə alıb.
Moonstone Sleet son illərdə ransomware hücumları ilə əlaqəli olan ilk Şimali Koreya haker qrupu deyil. Məsələn, ABŞ və Böyük Britaniya hökumətləri 2017-ci ilin may ayında dünya üzrə yüz minlərlə kompüteri məhv edən WannaCry ransomware epidemiyasında rəsmi olaraq Lazarus Qrupunu günahlandırdılar.
İllər sonra, 2022-ci ilin iyulunda Microsoft və FBI Şimali Koreyalı hakerləri müvafiq olaraq, Holy Ghost ransomware əməliyyatı və səhiyyə təşkilatlarına qarşı Maui ransomware hücumları ilə əlaqələndirdi.
“Moonstone Sleet-in müxtəlif taktika dəsti təkcə effektivliyinə görə deyil, həm də Şimali Koreyanın kiberməqsədlərinə çatmaq üçün uzun illər fəaliyyət göstərmiş bir neçə digər Şimali Koreya təhdid aktorlarınınkından necə təkamül etdiyinə görə diqqət çəkir”, – deyə Microsoft əlavə edib.
“Əlavə olaraq, Moonstone Sleet-in başqa bir Şimali Koreyalı təhdid aktyoru Onyx Sleet kimi oyun kitabına ransomware əlavə etməsi, onun pozucu əməliyyatları təmin etmək üçün imkanlar dəstini genişləndirməsini təklif edə bilər.”
