微软：朝鲜威胁者部署新型 FakePenny 勒索软件

微软发现朝鲜威胁行为者部署了一种新的“FakePenny”勒索软件变种，其目标是软件、信息技术、教育和国防工业基础领域的组织，以进行间谍活动和获取金钱利益。

该威胁行为者被微软追踪为 Moonstone Sleet，它于 4 月份首次被发现向一家未公开的公司发送了一种新的定制勒索软件变种，几个月前该软件入侵了该公司的网络。

该勒索软件非常简单，包含一个加载器和一个加密器模块。朝鲜威胁行为者团体以前曾开发过此类定制勒索软件，但“这是我们第一次观察到该威胁行为者部署勒索软件，”该科技巨头表示。

“微软评估 Moonstone Sleet 部署勒索软件的目的是为了获取经济利益，这表明该行为者开展网络行动既是为了收集情报，也是为了创造收入。”

FakePenny 勒索软件要求的赎金数额极高，最近的要求高达 660 万美元的比特币。微软表示：“这与之前朝鲜勒索软件攻击（如 WannaCry 2.0 和 H0lyGh0st ）的较低赎金要求形成了鲜明对比。”

值得注意的是，FakePenny 勒索软件使用的赎金通知与臭名昭著的 NotPetya 勒索软件攻击中使用的通知非常相似，后者是由朝鲜组织 Seashell Blizzard 发起的。这种策略的连续性凸显了朝鲜网络行动的相互关联性。

Moonstone Sleet 的战略和谍战技巧

Moonstone Sleet 拥有多种多样的行动来支持其财务和间谍目标。据观察，该组织创建虚假公司、使用合法工具的木马版本，甚至开发恶意游戏来渗透目标。他们同时进行操作以及快速发展和调整技术的能力引人注目。

如前所述，威​​胁行为者掌握了几种不同的技巧。2023 年 8 月初，Moonstone Sleet 通过 LinkedIn、Telegram 和自由职业网站等平台提供了开源终端仿真器 PuTTY 的受感染版本。当用户提供威胁行为者发送的恶意 Zip 文件中的文本文档中提到的 IP 和密码时，木马软件会解密并执行嵌入的恶意软件。另一名朝鲜行为者 Diamond Sleet 也使用了同样的技巧。

Moonstone Sleet 还利用通过自由职业网站和社交媒体分发的恶意“npm”软件包攻击受害者。这些软件包通常伪装成技术评估，执行后会导致额外的恶意软件下载。

自 2024 年 2 月以来，Moonstone Sleet 还采取了不同的方法，使用名为 DeTankWar 的恶意游戏来感染设备。该组织冒充游戏开发商或虚假公司接触目标，将该游戏伪装成区块链项目。启动游戏后，会加载其他恶意 DLL，执行名为“YouieLoad”的自定义恶意软件加载程序。此加载程序执行网络和用户发现以及浏览器数据收集。

虚假公司和雇佣工作计划

自 2024 年 1 月以来，Moonstone Sleet 创建了多家虚假公司，包括 StarGlow Ventures 和 CC Waterfall，以欺骗目标。这些公司冒充软件开发和 IT 服务公司，通常与区块链和人工智能有关，以建立信任并获得组织的访问权限。

Moonstone Sleet 还寻求在合法公司工作的机会，这与朝鲜利用远程 IT 员工创造收入的报道一致。最近，美国指控朝鲜存在就业欺诈团伙，该团伙正在筹集资金支持其核计划。该团伙诈骗了 300 多家美国公司，累计诈骗金额至少 680 万美元。

这种雇佣策略还可以为未经授权访问组织提供另一种途径。

Moonstone Sleet 发起的著名攻击包括入侵一家国防科技公司以窃取凭证和知识产权，以及针对一家无人机技术公司部署勒索软件。

“尽管 Moonstone Sleet 是一个新兴组织，但它已证明自己将继续成熟、发展和演变，并将自己定位为代表朝鲜政权进行复杂攻击的卓越威胁行为者。”

防御Moonstone Sleet

为了防御 Moonstone Sleet，微软建议使用端点检测和响应 (EDR)，实施攻击面减少规则以阻止来自电子邮件客户端和网络邮件的可执行内容，防止可执行文件运行（除非它们满足特定条件），使用高级保护措施防范勒索软件，并阻止从 LSASS 窃取凭据。