沉默的千里马勒索活动针对美国实体

执行摘要

Silent Chollima 传统上专注于间谍活动，但最近发现其似乎参与了以经济为动机的攻击。PolySwarm 分析师认为 Silent Chollima 的 TTP 的这种转变意义重大，表明威胁正在不断演变。

关键要点

• 最近，有人观察到朝鲜关系密切的威胁行为者组织“Silent Chollima”正在转移 TTP。 

• 该组织传统上专注于针对高情报价值实体的间谍行动，但最近勒索和其他以经济为目的的活动有所增加。

• 虽然据观察，其他朝鲜威胁行为者团体也在为获取经济利益而开展活动，但对于 Silent Chollima 来说，这却是一个相对较新的关注点。 

• PolySwarm 分析师认为，Silent Chollima 的 TTP 的这种转变具有重大意义，表明威胁正在不断演变。 

不断演变的威胁

近期，据观察，与朝鲜关系密切的威胁组织 Silent Chollima 正在转变 TTP。该组织传统上专注于针对高情报价值实体的间谍活动，但在过去几个月中，勒索和其他以经济为目的的活动有所增加。尽管美国司法部 (DOJ) 于 7 月起诉了一名与 Silent Chollima 有关联的个人，但该组织仍在继续开展此类活动。 

赛门铁克 报告了 此次勒索活动。据赛门铁克称，此次活动发生在 2024 年 8 月，针对至少三家美国组织。这些实体所属的垂直行业尚未确定。然而，赛门铁克指出，受害者没有明显的情报价值，很可能成为后续勒索软件攻击的目标。 

虽然其他朝鲜威胁行为者团体也被发现以经济利益为目的开展活动，但 Silent Chollima 相对较新地关注这一活动。赛门铁克的一名研究人员指出，Silent Chollima 可能已经开展敲诈勒索活动一段时间了，而且这一活动最近才被发现。 

攻击中使用了 Preft 后门（也称为 Dtrack 和 Valefor）。该工具由 Silent Chollima 独家使用，有助于将攻击归咎于该组织。此活动中利用的其他工具包括 Nukebot 后门、Mimikatz、两个未命名的键盘记录器、Sliver、PuTTY、Plink、Megatools、Chisel 和 FastReverseProxy。此外，威胁行为者还使用了伪造的 Tableau 证书和之前与 Silent Chollima 关联的另外两个证书。 

PolySwarm 分析师认为，Silent Chollima 的 TTP 的这种转变具有重大意义，表明威胁正在不断演变。 

沉默的千里马是谁？

Silent Chollima，又名 Stonefly、Andariel、Onyx Sleet、TDrop2 和 DarkSeoul，是一个朝鲜威胁行为者组织，据报道是 Lazarus Group 的一个分支。该组织至少自 2009 年以来一直活跃，并以朝鲜的间谍活动而闻名。他们与朝鲜侦察总局有联系。最近，该组织被发现从事以经济利益为目的的活动。Silent Chollima 瞄准的垂直领域包括军事、国防、工程、技术、教育、建筑、制造、赌博和能源。他们的目标主要位于印度、韩国和美国。 

众所周知，Silent Chollima 最初会使用鱼叉式网络钓鱼来获取初始访问权限。然而，他们最近也开始利用 N-day 漏洞。例如，在 2023 年末，该组织被发现利用 TeamCity 漏洞 CVE-2023-42793，从而可以执行远程代码执行并获得对服务器的管理控制权。  

Silent Chollima 拥有大量自定义工具和恶意软件，并定期改进其 TTP 以适应威胁形势的变化并逃避检测。这些自定义工具包括 RAT 和勒索软件。与 Silent Chollima 相关的自定义恶意软件包括但不限于 Dtrack (Preft)、Dora RAT、TigerRAT、SmallTiger、LightHand 和 ValidAlpha。该组织还使用开源工具，包括 Sliver、RMM 工具、SOCKS 代理工具、Ngrok 和 masscan。

IOCS

PolySwarm 有多个与此活动相关的样本。

f64dab23c50e3d131abcc1bdbb35ce9d68a34920dd77677730568c24a84411c5

12bf9fe2a68acb56eb01ca97388a1269b391f07831fd37a1371852ed5df44444

96118268f9ab475860c3ae3edf00d9ee944d6440fd60a1673f770d150bfb16d3

e5d56cb7085ed8caf6c8269f4110265f9fb9cc7d8a91c498f3e2818fc978eee2

fce7db964bef4b37f2f430c6ea99f439e5be06e047f6386222826df133b3a047

75448c81d54acb16dd8f5c14e3d4713b3228858e07e437875fbea9b13f431437

d71f478b1d5b8e489f5daafda99ad203de356095278c216a421694517826b79a 

5633691b680b46b8bd791a656b0bb9fe94e6354f389ab7bc6b96d007c9d41ffaee7926b30c734b49f373b88b3f0d73a761b832585ac235eda68cf9435c931269