Microsoft je identifikovao novog hakera iz Sjeverne Koreje, koji se sada prati kao Moonstone Sleet (ranije Storm-1789).
Ovaj haker koristi kombinaciju mnogih isprobanih tehnika koje koriste drugi hakeri iz Sjeverne Koreje i jedinstvene metodologije napada kako bi ciljao kompanije za svoje finansijske i sajberšpijunažne ciljeve.
Primijećeno je da Moonstone Sleet uspostavlja lažne kompanije i otvara mogućnosti za zapošljavanje kako bi se bavio potencijalnim metama, koristio trojanizirane verzije legitimnih alata, kreirao zlonamjernu igru i isporučio novi prilagođeni ransomware.
Moonstone Sleet koristi taktike, tehnike i procedure (TTP) koje su koristili i drugi sjevernokorejski hakeri u posljednjih nekoliko godina, naglašavajući preklapanje među ovim grupama.
Tehnička analiza
Dok se Moonstone Sleet u početku preklapao sa Diamond Sleet, haker se prebacio na njegovu infrastrukturu i napade, etablirajući se kao poseban, dobro opremljen sjevernokorejski haker.
Moonstone Sleet koristi nekoliko faza lanca isporuke zlonamjernog softvera, počevši od distribucije trojaniziranih PuTTY aplikacija putem društvenih medija i slobodnih platformi.
Prilagođeni instalateri odbačeni od zlonamjernog PuTTY-ja dešifriraju i izvršavaju niz korisnih učitavanja koji na kraju postaju prilagođeni učitavači zlonamjernog softvera .
Moonstone Sleet je prvobitno pozajmio od Diamond Sleeta, ali je sada razvio svoju infrastrukturu i metodologije, koje koristi zajedno sa poznatim zanatima za istovremene operacije Diamond Sleeta.
Ova široka kampanja ima za cilj da podrži finansijske ciljeve i ciljeve sajber špijunaže Moonstone Sleeta kroz različite aktivnosti, kao što su ransomware implementacija, lažno poslovanje i korištenje IT radnika.
Jedan od načina na koji ova grupa djeluje je distribucija štetnih NPM paketa koji se pretvaraju da kodiraju testne zadatke za lažne kompanije i tenkovsku igru pod nazivom “DeTankWar”, koja mami nesuđene žrtve da povjeruju da su u interakciji s blockchain programerima kojima je potrebna finansijska sredstva ili bilo koji drugi oblik pomoći. .
Kao ulazna tačka, zlonamjerni npm paketi postižu cilj uvođenjem SplitLoader-a, dok, kao ulazna tačka, igra širi svoj zarazni kod.
Moonstone Sleet stvara opsežan javni nastup koji uključuje web stranice i profile na društvenim mrežama kako bi potvrdio svoje lažno predstavljanje.
Saradnja GitHub-a sa Microsoftom u iskorenjivanju skladišta povezanih sa isporukom zlonamjernog npm paketa ovog sektora ukazala je na pomak ka temama vezanim za igre od februara 2024.
Uporna prijetnja iz Moonstone Sleet-a vođena je motivima kriminala i države, koje karakteriše evoluirajuće taktike miješanja sajber špijunaže sa kriminalnim aktivnostima.
Da bi ukrao podatke i intelektualnu svojinu, Moonstone Sleet narušava organizacije u različitim oblastima, uključujući sektor odbrane, tehnologiju i obrazovanje.
Preporuke
U nastavku smo naveli sve preporuke:-
- Iskoristite Microsoft Defender XDR za otkrivanje ransomware-a.
- Omogućite kontrolirani pristup fascikli i zaštitu od neovlaštenog pristupa.
- Aktivirajte zaštitu mreže u programu Microsoft Defender za krajnju tačku.
- Implementirajte jačanje vjerodajnica protiv tehnika krađe kao što je LSASS pristup.
- Pokrenite otkrivanje krajnje tačke i odgovor (EDR) u blok modu.
- Konfigurišite automatizovani način istraživanja i sanacije.
- Omogućite zaštitu u oblaku za prijetnje koje se brzo razvijaju.
- Blokirajte izvršne datoteke iz e-pošte i nametnite ograničenja datoteka.
- Iskoristite napredne mogućnosti zaštite od ransomware-a.
- Spriječite krađu akreditiva iz podsistema lokalnog sigurnosnog autoriteta.
Izvor:CyberSecurityNews