Home Sociedad Microsoft descubre a un nuevo grupo de ciberdelincuentes de Corea del Norte

Microsoft descubre a un nuevo grupo de ciberdelincuentes de Corea del Norte

Se ha atribuido a un actor de amenazas norcoreano nunca antes visto con nombre en código Moonstone Sleet como responsable de los ataques cibernéticos dirigidos a personas y organizaciones en los sectores industriales de software y tecnología de la información, educación y defensa con ransomware y malware personalizado previamente asociado con el infame Grupo Lazarus. .

“Se observa que Moonstone Sleet crea empresas falsas y oportunidades de trabajo para interactuar con objetivos potenciales, emplea versiones troyanizadas de herramientas legítimas, crea un juego malicioso y entrega un nuevo ransomware personalizado”, dijo el equipo de Microsoft Threat Intelligence en un nuevo análisis.

También caracterizó al actor de amenazas por utilizar una combinación de técnicas probadas y verdaderas utilizadas por otros actores de amenazas norcoreanos y metodologías de ataque únicas para cumplir sus objetivos estratégicos.

Se considera que el adversario, hasta ahora rastreado por Redmond bajo el nombre de grupo emergente Storm-1789, es un grupo alineado con el estado que originalmente exhibió fuertes superposiciones tácticas con el Grupo Lazarus (también conocido como Diamond Sleet), antes de establecer su propia identidad distintiva a través de una infraestructura separada. y oficio.

Las similitudes con Lazarus incluyen la reutilización extensiva de código de malware conocido como Comebacker, que se observó por primera vez en enero de 2021 en relación con una campaña dirigida a investigadores de seguridad que trabajan en investigación y desarrollo de vulnerabilidades.

Comebacker fue utilizado por Lazarus Group en febrero de este año, incorporándolo en paquetes aparentemente inofensivos de Python y npm para establecer contacto con un servidor de comando y control (C2) para recuperar cargas útiles adicionales.

Para respaldar sus diversos objetivos, también se sabe que Moonstone Sleet busca empleo en puestos de desarrollo de software en múltiples empresas legítimas, probablemente en un intento de generar ingresos ilícitos para el país afectado por las sanciones o obtener acceso encubierto a organizaciones.

Las cadenas de ataques observadas en agosto de 2023 implicaron el uso de una versión modificada de PuTTY (una táctica adoptada por el Grupo Lazarus a finales de 2022 como parte de la Operación Dream Job) a través de LinkedIn y Telegram, así como de plataformas de desarrolladores independientes.

El ejecutable troyanizado PuTTY está diseñado para colocar un instalador personalizado denominado SplitLoader que inicia una secuencia de etapas intermedias para finalmente lanzar un cargador de troyanos que es responsable de ejecutar un ejecutable portátil recibido de un servidor C2.

Las secuencias de ataque alternativas han implicado el uso de paquetes npm maliciosos que se entregan a través de LinkedIn o sitios web independientes, a menudo haciéndose pasar por una empresa falsa para enviar archivos .ZIP invocando un paquete npm malicioso bajo la apariencia de una evaluación de habilidades técnicas.

 

Estos paquetes npm están configurados para conectarse a una dirección IP controlada por el actor y eliminar cargas útiles similares a SplitLoader, o facilitar el robo de credenciales del proceso del Servicio del subsistema de autoridad de seguridad local de Windows (LSASS).

Vale la pena señalar que el ataque a los desarrolladores de npm que utilizan paquetes falsificados se ha asociado con una campaña previamente documentada por la Unidad 42 de Palo Alto Networks bajo el nombre Contagious Interview (también conocido como DEV#POPPER). Microsoft está rastreando la actividad con el nombre Storm-1877.

Los paquetes npm maliciosos también han sido un vector de entrega de malware para otro grupo vinculado a Corea del Norte con nombre en código Jade Sleet (también conocido como TraderTraitor y UNC4899), que estuvo implicado en el hackeo de JumpCloud el año pasado.

Otros ataques detectados por Microsoft desde febrero de 2024 han utilizado un juego de tanques malicioso llamado DeTankWar (también conocido como DeFiTankWar, ​​DeTankZone y TankWarsZone) que se distribuye a los objetivos a través de correo electrónico o plataformas de mensajería, al tiempo que otorga una capa de legitimidad al configurar sitios web y cuentas falsos en X. (anteriormente Twitter).