新威脅崛起北韓新興駭客組織攻擊手法多樣化

2024-05-30 13:36:54 科技島

微軟（Microsoft）最近揭發一個北韓新駭客組織「Moonstone Sleet」，該組織專門針對軟體和資訊技術、教育及國防工業基地等部門進行網路攻擊。根據微軟威脅情報團隊分析，Moonstone Sleet利用虛假公司和就業機會來吸引潛在目標，並使用木馬化的合法工具和惡意遊戲進行攻擊，手段多樣且複雜，對企業和個人構成重大威脅。

編譯／Cynthia

北韓新駭客組織利用虛假公司和就業機會來吸引潛在目標，並使用木馬化的合法工具和惡意遊戲進行攻擊。圖 / 123RF

初步分析與背景

Moonstone Sleet最初被微軟追蹤代號為「Storm-1789」，這個新興的駭客組織與知名的Lazarus Group（又稱Diamond Sleet）手法重疊，但後來建立自己的獨特身份和基礎設施。Lazarus Group曾在2021年1月使用Comebacker惡意軟體攻擊安全研究人員，在2023年2月再次使用，這些相似之處顯示兩個組織之間的關聯及手法延續性。

更多新聞：蘋果隱私現危機！定位服務有漏洞恐遭駭客攻擊

攻擊手法和工具

2023年8月Moonstone Sleet使用修改版的PuTTY，透過 LinkedIn、Telegram和開發者自由職業平台，傳遞木馬化的putty.exe。這些攻擊手法包含自訂的安裝程式SplitLoader，最後啟動從控命令和控制（C2）服器接收的執行檔。Moonstone Sleet還利用惡意的npm包傳遞相似的惡意載體，或竊取本機安全認證子系統服務（LSASS）過程中的憑證。

偽裝成合法公司

Moonstone Sleet常使用假公司名稱，如CC Waterfall和StarGlow Ventures，透過社交工程攻擊目標。這些電子郵件通常含有像素追蹤（Pixel Tracking），用以確認受害者是否打開郵件，可能為未來建立信任和收入機會，顯示該組織在社交工程方面的高超技術。

惡意遊戲攻擊

微軟發現，Moonstone Sleet使用名為DeTankWar的惡意遊戲進行攻擊，這些遊戲通常透過電子郵件或訊息平台發送，同時建立虛假網站和社交媒體帳號以提高合法性。在這些惡意遊戲中，內嵌YouieLoad可加載更多惡意載體，並建立惡意服務進行網路和用戶偵測，以及瀏覽器數據收集，展現高超技術高超和靈活應變的能力。