详细技术文章:https://unit42.paloaltonetworks.com/north-korean-threat-group-play-ransomware/
Play 勒索软件于 2022 年年中首次被发现,与一个名为“Fiddling Scorpius”的威胁组织有关,该组织涉嫌管理使用勒索软件的攻击的开发和执行。与 Fiddling Scorpius 可能采用勒索软件即服务 (RaaS) 模式的猜测相反,该组织在其 Play 勒索软件泄漏网站上声称,它是独立运营的,不提供 RaaS 服务。
2024 年 9 月,Unit 42 响应了影响其客户的 Play 勒索软件事件。通过 Unit 42 的调查,高度确信,朝鲜国家支持的威胁组织 Jumpy Pisces 于 2024 年 5 月通过被盗用户账户首次访问了网络。该入口点使 Jumpy Pisces 能够进行横向移动并建立持久性,使用开源工具 Sliver 及其自定义恶意软件 DTrack。这两种工具都通过服务器消息块 (SMB) 协议分发到多个主机,并在 9 月初勒索软件部署之前一直与其命令和控制 (C2) 服务器保持通信。
潜在合作分析
根据 Unit 42 的观察,我们中等程度地相信 Jumpy Pisces 和 Play 勒索软件之间存在合作。Jumpy Pisces 最初访问的受感染帐户后来被用于 Windows 访问令牌滥用和通过 PsExec 提升 SYSTEM 权限,最终导致 EDR 传感器卸载和勒索软件部署。值得注意的是,Sliver C2 通信一直持续到勒索软件攻击的前一天,并且相关 IP 地址在勒索软件部署后立即下线,这支持了潜在的联系。
虽然目前尚不确定 Jumpy Pisces 是作为附属机构还是仅仅是向勒索软件运营商出售网络访问权的初始访问代理 (IAB),但此事件凸显了受国家支持的朝鲜组织与地下勒索软件网络之间的显著合作。这种结盟可能表明朝鲜组织加入全球勒索软件活动的新趋势,可能导致全球范围内更广泛、更具破坏性的攻击。
原文始发于微信公众号(独眼情报):Unit42 检测到朝鲜与 Play 勒索软件之间可能存在合作
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论