导 读
朝鲜威胁组织被指控参与了最近的一次事件,部署了一个名为 Play 的已知勒索软件家族,这凸显了他们的经济动机。
该活动是在 2024 年 5 月至 9 月期间观察到的,被追踪为Jumpy Pisces 的APT组织所为,该威胁组织也被命名为 Andariel、APT45、DarkSeoul、Nickel Hyatt、Onyx Sleet (以前称为 Plutonium)、Operation Troy、Silent Chollima 和 Stonefly。
Palo Alto Networks Unit 42在今天发布的新报告中表示:“我们有信心,Jumpy Pisces 或该组织的一个派系目前正在与 Play 勒索软件组织合作。”
该组织至少从 2009 年开始活跃,它之前部署了另外两种勒索软件,分别是SHATTEREDGLASS 和 Maui,该组织因部署定制开发的勒索软件 Maui 而被美国司法部起诉。
本月早些时候,赛门铁克指出,2024 年 8 月,美国三个不同的组织遭到政府支持的黑客攻击,可能是一次出于经济动机的攻击,尽管他们的网络上没有部署勒索软件。
Play 是一个勒索软件,据信截至 2023 年 10 月已影响了大约 300 个组织。它也被称为 Balloonfly、Fiddling Scorpius 和 PlayCrypt。
网络安全公司 Adlumin去年年底透露,该行动可能已转变为勒索软件即服务 (RaaS) 模式,但 Play 背后的威胁组织此后在其暗网数据泄露网站上宣布事实并非如此。
在 Unit 42 调查的事件中,Andariel 被认为于 2024 年 5 月通过受损的用户帐户获得初始访问权限,随后使用Sliver命令和控制 (C2) 框架以及名为Dtrack(又名 Valefor 和 Preft)的定制后门进行横向移动和持久性活动。
Unit 42 表示:“这些远程工具一直与命令和控制 (C2) 服务器保持通信,直到 9 月初。这最终导致了 Play 勒索软件的部署。”
在 Play 勒索软件部署之前,一名身份不明的攻击者使用同一个被入侵的用户帐户渗透到网络,之后他们被发现进行凭证收集、权限提升以及端点检测和响应 (EDR) 传感器的卸载,这些都是勒索软件前活动的标志。
攻击还利用了一个木马二进制文件,它能够收集 Google Chrome、Microsoft Edge 和 Brave 的网络浏览器历史记录、自动填充信息和信用卡详细信息。
Andariel 和 Play Asia 都使用了被入侵的用户账户,这两组入侵之间的联系源于与 Sliver C2 服务器 (172.96.137[.]224) 的通信一直持续到勒索软件部署的前一天。自部署当天起,C2 IP 地址就一直处于离线状态。
Unit 42 总结道:“目前尚不清楚 Jumpy Pisces 是否已正式成为 Play 勒索软件的附属机构,或者他们是否通过向 Play 勒索软件参与者出售网络访问权充当 IAB [初始访问代理]。”
“如果 Play 勒索软件没有像它声称的那样提供 RaaS 生态系统,Jumpy Pisces 可能只是充当了 IAB。”
Unit 42 认为:这起事件意义重大,它标志着朝鲜官方背景的黑客组织组织与地下勒索软件网络首次合作。可能预示着未来的趋势,即全球范围内发生范围更广、破坏性更强的勒索软件攻击。
技术报告:https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/
新闻链接:
https://thehackernews.com/2024/10/north-korean-group-collaborates-with.html
扫码关注
军哥网络安全读报
讲述普通人能听懂的安全故事
原文始发于微信公众号(军哥网络安全读报):朝鲜APT组织与 Play 勒索软件合作发动重大网络攻击
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论