Microsoft a lié un groupe de piratage nord-coréen qu’il suit sous le nom de Moonstone Sleet à des attaques de ransomware de faux centimes, qui ont entraîné des millions de dollars de demandes de rançon.
Bien que les tactiques, techniques et procédures (TTP) de ce groupe de menaces se chevauchaient largement avec celles d’autres attaquants nord-coréens, il a également lentement adopté de nouvelles méthodes d’attaque, ainsi que sa propre infrastructure et ses propres outils personnalisés.
Auparavant connu sous le nom de Storm-17, Moonstone Sleet a été observé en train d’attaquer des cibles financières et de cyberespionnage à l’aide de logiciels chevaux de Troie (par exemple, PuTTY), de jeux malveillants et de packages npm, de chargeurs de logiciels malveillants personnalisés et de fausses sociétés de développement de logiciels (par exemple, StarGlow Ventures, CC Waterfall) mis en place pour interagir avec des victimes potentielles sur LinkedIn, Telegram, des réseaux indépendants ou par e-mail.
« Lorsque Microsoft a détecté pour la première fois une activité de Grésil de pierre de Lune, l’acteur a démontré de forts chevauchements avec le Grésil de Diamant, réutilisant largement le code de logiciels malveillants connus de Grésil de Diamant comme Comebacker et utilisant des techniques bien établies de Grésil de Diamant pour accéder aux organisations, telles que l’utilisation des médias sociaux pour fournir un logiciel cheval de Troie, » Microsoft a déclaré.
« Cependant, la neige fondue de pierre de Lune s’est rapidement déplacée vers sa propre infrastructure et ses attaques sur mesure. Par la suite, Microsoft a observé des opérations simultanées de Grésil de pierre de Lune et de Grésil de diamant, le Grésil de diamant utilisant encore une grande partie de son savoir-faire connu et établi. »
Liens nord-coréens vers un ransomware
Les auteurs de la menace ont été vus pour la première fois en train de déployer une nouvelle variante personnalisée de faux ransomware Penny en avril, deux mois après avoir piraté le réseau de la victime.
Cependant, contrairement aux précédentes attaques de ransomware coordonnées par des pirates informatiques nord-coréens, dans lesquelles les victimes devaient payer 100 000 dollars, la rançon demandée par les attaquants de Moonstone Sleet était de 6,6 millions de dollars en BTC.
L’évaluation de Microsoft de cette attaque a conclu que la motivation principale de Moonstone Sleet pour déployer le ransomware était un gain financier. L’implication antérieure du groupe dans des attaques de cyberespionnage suggère que leurs attaques sont axées sur la génération de revenus et la collecte de renseignements.
Depuis sa première observation, le groupe a ciblé de multiples secteurs verticaux, y compris des particuliers et des organisations des secteurs des logiciels et des technologies de l’information, de l’éducation et de la défense.
Moonstone Sleet n’est pas le premier groupe de piratage nord-coréen à être lié à des attaques de ransomware ces dernières années. Par exemple, les gouvernements des États-Unis et du Royaume-Uni ont officiellement blâmé le groupe Lazarus pour l’épidémie de ransomware wannacry qui a dévasté des centaines de milliers d’ordinateurs dans le monde en mai 2017.
Des années plus tard, en juillet 2022, Microsoft et le FBI ont également lié des pirates nord-coréens à l’opération de ransomware Holy Ghost et aux attaques de ransomware Maui contre des organisations de soins de santé, respectivement.
« L’ensemble diversifié de tactiques de Moonstone Sleet est remarquable non seulement en raison de leur efficacité, mais aussi en raison de la façon dont elles ont évolué par rapport à celles de plusieurs autres acteurs de la menace nord-coréens au cours de nombreuses années d’activité pour atteindre les cyber-objectifs nord-coréens », a ajouté Microsoft.
« De plus, l’ajout de ransomwares par Moonstone Sleet à son manuel, à l’instar d’un autre acteur nord-coréen de la menace, Onyx Sleet, peut suggérer qu’il étend son ensemble de capacités pour permettre des opérations perturbatrices. »