微软报告，一个新的朝鲜APT组织将目标锁定在教育、国防以及软件和 IT 组织，以进行间谍活动和创收

微软官方报告称，被命名为“ Moonstone Sleet ”（以前称为“风暴-1789”）有政府背景的APT组织，将其他朝鲜APT组织所采用的战术、技术和程序 (TTP) 与其独特方法相结合，已成为一个资源丰富的对手。

微软表示：“据观察，Moonstone Sleet 会建立虚假公司和工作机会来与潜在目标接触，使用合法工具的木马版本，创建恶意游戏，并投放新的定制勒索软件。”

最初发现时，该组织与Diamond Sleet（也称为 Zinc）表现出很强的重叠性，后者被认为是臭名昭著的 Lazarus 的一个分支，但后来转移到自己的基础设施，开展了一系列广泛的行动。

今年，Moonstone Sleet 被发现创建虚假公司，冒充软件开发和 IT 服务组织，包括 StarGlow Ventures 和 CC Waterfall，并在合法公司寻求软件开发职位。

自 2023 年 8 月以来，该组织一直在攻击中使用木马版本的 PuTTY、SplitLoader 安装程序/投放器、恶意 npm 包、自定义恶意坦克游戏、YouieLoad 和 SplitLoader 恶意软件加载器以及名为 FakePenny 的自定义勒索软件。

木马病毒 PuTTY

2023 年 8 月初，微软观察到 Moonstone Sleet 通过 LinkedIn 和 Telegram 等应用程序以及开发者自由职业平台传播了开源终端仿真器 PuTTY 的木马版本。

攻击者通常会向目标发送一个包含两个文件的.zip存档：木马版本的putty.exe和url.txt，其中包含 IP 地址和密码。如果用户在 PuTTY 应用程序中输入提供的 IP 和密码，该应用程序将解密嵌入的有效负载，然后加载并执行它。

木马病毒PuTTY可执行文件会释放一个自定义安装程序，从而启动一系列恶意软件阶段的执行，如下所述：

• 第 1 阶段 - 木马化的 PuTTY：解密、解压缩，然后执行嵌入的第 2 阶段有效负载。

• 第 2 阶段 – SplitLoader 安装程序/植入程序：解密、解压缩并将第 3 阶段负载（SplitLoader DLL 文件）写入磁盘。安装程序还会将两个加密文件植入磁盘，然后通过计划任务或注册表运行键执行 SplitLoader。

• 第 3 阶段 - SplitLoader：解密并解压缩第 2 阶段有效负载释放的两个加密文件，然后将它们组合起来以创建下一阶段的另一个可移植可执行 (PE) 文件。

• 第 4 阶段 - 木马加载程序：等待来自 C2 的压缩和加密 PE 文件。收到后，木马加载程序将解压缩、解密并执行此文件。

使用木马化的 PuTTY 的 Moonstone Sleet 攻击链

恶意 npm 包

Microsoft 发现 Moonstone Sleet 会利用使用恶意 npm 包的项目来瞄准潜在受害者。攻击者通常会通过自由职业网站或其他平台（如 LinkedIn）提供这些项目。

在一个示例中，攻击者利用一家虚假公司发送.zip文件，以技术技能评估为幌子调用恶意 npm 包。加载时，恶意包使用curl连接到行为者控制的 IP 并投放 SplitLoader 等其他恶意负载。

在另一起事件中，Moonstone Sleet 提供了一个恶意 npm 加载器，导致 LSASS 凭据被盗。Microsoft 与 GitHub 合作识别并删除与此活动相关的存储库。

恶意坦克游戏

自 2024 年 2 月以来，微软发现 Moonstone Sleet 使用其开发的一款名为 DeTankWar（也称为 DeFiTankWar、DeTankZone 或 TankWarsZone）的恶意坦克游戏感染设备。DeTankWar 是一款功能齐全的可下载游戏，需要玩家注册，包括用户名/密码和邀请码。

在此活动中，Moonstone Sleet 通常通过消息平台或电子邮件联系目标，自称是寻求投资或开发者支持的游戏开发商，并伪装成合法的区块链公司或使用虚假公司。

为了增强游戏表面上的合法性，Moonstone Sleet 还创建了一个看似正常的伪装活动，其中包括网站detankwar[.]com和defitankzone[.]com，以及许多 X（Twitter）帐户，用于联系目标和游戏本身的角色。

Moonstone Sleet X（Twitter）游戏 DeTankWar 帐户示例

Moonstone Sleet 使用一家名为 CC Waterfall 的虚假公司联系目标。该电子邮件将该游戏介绍为区块链相关项目，并向目标提供了合作机会，邮件正文中包含了下载游戏的链接。有关 CC Waterfall 和 Moonstone Sleet 为欺骗目标而设立的另一家虚假公司的更多详细信息如下：

Moonstone Sleet 使用 CC Waterfall 通过电子邮件发送其游戏的链接

当目标用户启动游戏delfi-tank-unity.exe 时，还会加载其他包含的恶意 DLL。有效负载是一个自定义恶意软件加载器，Microsoft 将其跟踪为 YouieLoad。

与 SplitLoader 类似，YouieLoad 会在内存中加载恶意负载并创建执行网络和用户发现以及浏览器数据收集等功能的恶意服务。对于该组织特别感兴趣的受感染设备，攻击者会启动键盘命令并进一步发现并进行凭证窃取。

为了传播恶意负载，Moonstone Sleet 一直在使用 LinkedIn 和 Telegram 等应用程序以及开发人员自由职业平台或电子邮件。

勒索软件

2024 年 4 月，微软观察到 Moonstone Sleet 针对一家其在 2 月份曾入侵过的公司发布了一种新的自定义勒索软件变种，微软将其命名为 FakePenny。FakePenny 包含一个加载器和一个加密器。

微软评估称，Moonstone Sleet 部署勒索软件的目的是为了获取经济利益，这表明攻击者进行网络行动既是为了收集情报，也是为了创收。

值得注意的是，FakePenny 发布的勒索软件说明与 Seashell Blizzard 在其恶意软件 NotPetya 中使用的说明非常相似。赎金要求为 660 万美元（以比特币计算）。这与之前朝鲜勒索软件攻击（如 WannaCry 2.0 和H0lyGh0st ）的较低赎金要求形成了鲜明对比。

FakePenny 勒索软件说明

虚假公司

自 2024 年 1 月以来，微软发现 Moonstone Sleet 创建了多家虚假公司，冒充软件开发和 IT 服务，通常与区块链和 AI 有关。该攻击者利用这些公司接触潜在目标，并使用创建的网站和社交媒体帐户的组合来增加其活动的合法性。

该组织投入了大量资源建立虚假身份来支持其恶意软件传播策略，并利用虚假公司与潜在目标进行接触。

除了创建虚假公司外，微软还发现 Moonstone Sleet 正在多家合法公司寻求软件开发职位。这一活动可能与美国司法部之前的报告一致，即朝鲜正在利用高技能的远程 IT 工作者来创造收入。另一方面，Moonstone Sleet 的这一活动也可能是另一种获取组织访问权限的方法。

详细报告参考微软官方博客：https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor-with-new-bag-of-tricks/

新闻链接：https://www.securityweek.com/new-north-korean-threat-actor-engaging-in-espionage-revenue-generation-attacks/