Относительно новая северокорейская кибергруппировка, известная под названием Moonstone Sleet, недавно была идентифицирована как ответственная за атаки на сектор программного обеспечения, информационных технологий, образования и оборонной промышленности с использованием вымогательского софта и прочих видов вредоносного ПО.
Согласно новому анализу команды обнаружения угроз Microsoft, Moonstone Sleet создаёт фальшивые компании и вакансии, чтобы обманывать своих жертв. Группа использует троянизированные версии легитимных инструментов, разрабатывает вредоносные игры и активно внедряет вымогательское ПО.
В атаках Moonstone Sleet применяются как традиционные методы, используемые другими северокорейскими хакерами, так и абсолютно уникальные техники, пишет Securitylab.
Первоначально отслеживаемая под кодовым именем Storm-1789, группировка имела некоторые тактические сходства с Lazarus Group, но затем выделилась в отдельную группу с собственной инфраструктурой и методами.
Moonstone Sleet активно использует код уже известного вредоносного ПО, такого как, например, Comebacker, впервые замеченного в январе 2021 года. Также в своих атаках группа часто применяет программу PuTTY, разнообразные фриланс-платформы и социальную сеть LinkedIn.
Для достижения своих целей хакеры Moonstone Sleet используют целый ряд различных стратегий, основанных на методах социальной инженерии:
Так, в апреле этого года хакерам Moonstone Sleet удалось внедрить новую вариацию вымогательского ПО FakePenny в неназванную оборонную технологическую компанию.
Эксперты Microsoft подчёркивают необходимость принятия мер безопасности для защиты от атак Moonstone Sleet и предупреждают о возможных атаках на цепочки поставок. Тем временем, северокорейские хакеры продолжают адаптировать свои методы для достижения поставленных киберцелей.