新威脅崛起 北韓新興駭客組織攻擊手法多樣化
編譯/Cynthia
微軟(Microsoft)最近揭發一個北韓新駭客組織「Moonstone Sleet」,該組織專門針對軟體和資訊技術、教育及國防工業基地等部門進行網路攻擊。根據微軟威脅情報團隊分析,Moonstone Sleet利用虛假公司和就業機會來吸引潛在目標,並使用木馬化的合法工具和惡意遊戲進行攻擊,手段多樣且複雜,對企業和個人構成重大威脅。
初步分析與背景
Moonstone Sleet最初被微軟追蹤代號為「Storm-1789」,這個新興的駭客組織與知名的Lazarus Group(又稱Diamond Sleet)手法重疊,但後來建立自己的獨特身份和基礎設施。Lazarus Group曾在2021年1月使用Comebacker惡意軟體攻擊安全研究人員,在2023年2月再次使用,這些相似之處顯示兩個組織之間的關聯及手法延續性。
攻擊手法和工具
2023年8月Moonstone Sleet使用修改版的PuTTY,透過 LinkedIn、Telegram和開發者自由職業平台,傳遞木馬化的putty.exe。這些攻擊手法包含自訂的安裝程式SplitLoader,最後啟動從控命令和控制(C2)服器接收的執行檔。Moonstone Sleet還利用惡意的npm包傳遞相似的惡意載體,或竊取本機安全認證子系統服務(LSASS)過程中的憑證。
偽裝成合法公司
Moonstone Sleet常使用假公司名稱,如CC Waterfall和StarGlow Ventures,透過社交工程攻擊目標。這些電子郵件通常含有像素追蹤(Pixel Tracking),用以確認受害者是否打開郵件,可能為未來建立信任和收入機會,顯示該組織在社交工程方面的高超技術。
惡意遊戲攻擊
微軟發現,Moonstone Sleet使用名為DeTankWar的惡意遊戲進行攻擊,這些遊戲通常透過電子郵件或訊息平台發送,同時建立虛假網站和社交媒體帳號以提高合法性。在這些惡意遊戲中,內嵌YouieLoad可加載更多惡意載體,並建立惡意服務進行網路和用戶偵測,以及瀏覽器數據收集,展現高超技術高超和靈活應變的能力。
勒索軟體 FakePenny
這新興的駭客組織最近推出一個名為FakePenny的自訂勒索軟體,對一家未具名的防衛技術公司提出660 萬美元(新台幣約2.14億元)的比特幣贖金要求。這種勒索軟體攻擊類似於另一個北韓駭客組織Andariel的手法,顯示駭客組織正採用更多樣化的手段來達成目的。
南韓的指控
南韓政府指控北韓在過去兩年內持續竊取大量數據,顯示其對全球網路安全的持續威脅。從2021年1月到2023年2月,北韓駭客被指控從南韓法院網路中竊取1,014GB的數據和文件,包括名字、居民登記號碼和金融記錄。
Moonstone Sleet的行動突顯供應鏈安全的重要性,軟體公司應加強監控和保護措施,防範污染軟體供應鏈的可能性。
資料來源:The Hacker News
瀏覽 849 次