Un Nuovo Attore nel Panorama delle Minacce Informatiche:
Recentemente, Microsoft ha identificato un nuovo gruppo di cybercriminali nordcoreani, soprannominato Moonstone Sleet, che ha iniziato a bersagliare individui e organizzazioni nei settori della tecnologia dell’informazione, dell’istruzione e della difesa. Questo gruppo utilizza ransomware e malware personalizzati, simili a quelli già noti del famigerato gruppo Lazarus.
Tecniche Avanzate e Stratagemmi Unici:
Moonstone Sleet si distingue per l’uso di tecniche collaudate insieme a metodologie di attacco uniche. Questo gruppo crea falsi portali aziendali e opportunità di lavoro per avvicinare i potenziali bersagli, utilizzando versioni trojanizzate di strumenti legittimi e giochi malevoli per distribuire ransomware personalizzati. Questi attacchi sono spesso veicolati tramite piattaforme come LinkedIn e Telegram.
Un’Evoluzione della Minaccia Lazarus:
Originariamente monitorato sotto il nome di Storm-1789, Moonstone Sleet ha mostrato forti sovrapposizioni tattiche con il gruppo Lazarus, noto anche come Diamond Sleet, prima di stabilire una propria identità distintiva attraverso infrastrutture e tattiche separate. Le somiglianze includono il riutilizzo estensivo di codice da malware noti, come Comebacker, utilizzato dal gruppo Lazarus in attacchi rivolti a ricercatori di sicurezza.
Moonstone Sleet è noto per utilizzare versioni modificate di software come PuTTY, distribuite tramite archivi .ZIP contenenti file malevoli. Questi file, una volta eseguiti, attivano catene di attacco che portano al caricamento di payload personalizzati da server di comando e controllo (C2). Altre tattiche includono l’uso di pacchetti npm malevoli e giochi trojanizzati come DeTankWar, distribuiti tramite email o piattaforme di messaggistica.
Campagne di Social Engineering e Finti Collaboratori:
Il gruppo è abile nel creare società fittizie, come C.C. Waterfall e StarGlow Ventures, per avvicinare le vittime attraverso campagne di social engineering. Queste aziende fasulle presentano domini personalizzati, false identità di dipendenti e account sui social media per sembrare legittime e coinvolgere i bersagli in progetti fittizi.
Tra le nuove minacce, Moonstone Sleet ha sviluppato un ransomware chiamato FakePenny, utilizzato per colpire una società di tecnologia della difesa ad aprile 2024, richiedendo un riscatto di 6,6 milioni di dollari in Bitcoin. Questa tattica è simile a quelle usate dal sottogruppo Andariel del Lazarus Group, noto per i ransomware H0lyGh0st e Maui.
Conclusioni:
Microsoft invita le aziende del settore software a vigilare contro gli attacchi alla supply chain, data la propensione dei gruppi nordcoreani a compromettere la catena di fornitura per condurre operazioni malevole su larga scala. La diversità delle tattiche di Moonstone Sleet è notevole non solo per la loro efficacia, ma anche per l’evoluzione delle tecniche nel tempo, dimostrando una sofisticata capacità di adattamento agli obiettivi cyber nordcoreani.
Questa scoperta giunge mentre la Corea del Sud accusa il Nord di aver rubato oltre 1.000 gigabyte di dati sensibili da una rete giudiziaria, evidenziando ulteriormente la gravità e la portata delle operazioni di cyber spionaggio nordcoreane.
