微软与朝鲜有关联的一个全新的网络犯罪集团正在利用虚假的就业机会欺骗目标,以启动恶意软件和勒索软件,所有这些都是为了经济利益.
微软追踪这个团伙,称其至少从2023年8月--其活动被发现的最早日期--开始活跃,并一直通过LinkedIn、Telegram和各种自由职业平台部署特洛伊木马版本的PuTTY和SumatraPDF.
这些应用程序旨在加载额外的有效负载,并提供对特定目标发动后续攻击的途径.
Moonstone Sleet还与一种名为FakePenny的新勒索软件版本的部署有关,直到2024年4月才被发现.
金正恩政权对开发勒索软件以实现其在网络空间的目标并不陌生,人们普遍认为,网络空间主要专注于为军事努力筹集资金.
然而,微软指出,这是这个特定组织首次开发定制勒索软件.
微软表示,4月份的攻击针对的是一家未透露姓名的国防技术公司,此前该组织最初于2023年12月入侵该组织,窃取凭证和知识产权.
攻击者等待了几个月,然后才使用FakePenny加密文件并索要赎金.
与过去几天的Nork勒索软件不同,现在勒索金钱的要求激增.
《想哭》是金的作品,早在2013年,这种压力就在各个组织中蔓延开来,但它的赎金要求只有几百美元一次.
同样,朝鲜的另一种压力--最近的2022年H0lyGh0st--索要更高的价格,介于五位数到较低的六位数之间.
不过,微软表示,现在FakePenny要求的金额与商业勒索软件市场更一致,为660万美元.
这是朝鲜从美国及其盟友的经济中榨取资金的最新举措.
近年来,这个隐居国家正在部署各种IT专家,主要是在亚洲--尤其是中国--申请北美和欧洲的自由职业或远程技术职位.
本月,美国成功抓获了一些罪魁祸首,其中包括一名被控密谋帮助这些海外工人在不引起怀疑的情况下完成工作的美国公民.
亚利桑那州利奇菲尔德公园的克里斯蒂娜·玛丽·查普曼(Christina Marie Chapman)据称经营着一个笔记本电脑农场,里面有一系列笔记本电脑,朝鲜工人可以远程进入一个IP,从这个IP执行他们在美国的工作,而这个IP不会对安全解决方案产生任何担忧.
这一行动的受害者包括从美国标志性的汽车制造商到大型广播公司.
也有人看到Moonstone Sleet使用类似的策略,申请“多家合法公司”的软件开发职位,微软认为,这些公司要么是为了创造收入,要么是为了初步进入感兴趣的组织.
在就业市场的另一边,该组织也有建立虚假公司的经验,以建立与感兴趣的组织的关系,特别是那些软件开发和高等教育领域的组织.
这些公司经常声称提供软件开发和其他IT服务,包括人工智能和区块链.
不过,目标据信是相同的:利用目标获取经济利益,或获得最初的访问权限,作为后续攻击的立足点.
微软表示:“月亮石雨夹雪的多样化战术之所以引人注目,不仅是因为它们的有效性,还因为它们是如何从其他几个朝鲜威胁因素的多年活动中演变而来的,以满足朝鲜的网络目标.
例如,朝鲜多年来一直保持着一支远程IT工作人员队伍,以创造收入来支持国家的目标.
”Moonstone Sleet将重点放在其活动中进行IT工作,这表明它可能不仅在帮助这一战略计划,还可能扩大对远程IT员工的使用,而不仅仅是经济收益.
朝鲜的另一个威胁行为者“奥尼克斯·斯威特”可能表示,它正在扩大其能力以开展破坏性行动.
”,微软还指出其业务技术各个方面的重叠性质.
例如,Moonstone Sleet的一家假冒公司向目标组织发送了电子邮件,邀请他们下载该组织开发的以坦克为主题的恶意视频游戏.
在这次单独的活动中,Kim的攻击者会向目标发送有关该游戏的信息,同时声称寻求投资或开发支持.
它将这些努力与扎实的营销相结合,其中包括一个网站和各种社交媒体帐户,但这些帐户现已被暂停. .