Microsoft tiết lộ về nhóm tấn công mới “Moonstone Sleet”

Nhóm này tạo ra các công ty ma và cơ hội việc làm giả để phát tán các công cụ hợp pháp nhưng bị cài trojan, mã độc game và ransomware.

Ban đầu được theo dõi dưới tên Storm-1789, Moonstone Sleet đã được xác định là một nhóm riêng biệt nhờ hạ tầng và kỹ thuật tấn công riêng, có nhiều điểm tương đồng với Lazarus Group. Cả hai nhóm đều sử dụng mã nguồn của mã độc nổi tiếng như Comebacker.

Từ tháng 08/2023, nhóm tấn công sử dụng phiên bản chỉnh sửa của công cụ PuTTY. Họ gửi một file .ZIP chứa PuTTY bị nhiễm trojan và file url.txt chứa địa chỉ IP cùng mật khẩu.

Khi người dùng nhập thông tin này vào PuTTY, payload được giải mã và thực thi. Payload này là SplitLoader, thực hiện một loạt tác vụ để tải và chạy file từ máy chủ C&C.

Một chuỗi tấn công khác sử dụng các gói npm độc hại phát tán qua LinkedIn hoặc các trang web việc làm tự do. Nhóm tấn công tạo các công ty giả để gửi file .ZIP chứa gói npm ngụy trang thành bài kiểm tra kỹ năng kỹ thuật.

Các gói npm này kết nối đến máy chủ C&C để tải payload hoặc trích xuất thông tin xác thực từ tiến trình Windows LSASS. Đáng chú ý, chiến thuật này từng được sử dụng trong chiến dịch Contagious Interview, đây là một phương pháp phát tán mã độc phổ biến của nhóm APT Triều Tiên có tên Jade Sleet.

Ngoài ra, Moonstone Sleet còn sử dụng một trò chơi độc hại phát tán qua tin nhắn hoặc email. Nhóm này giả mạo nhà phát triển game cần đầu tư hoặc trợ giúp từ nhà phát triển khác và sử dụng tên của một công ty blockchain hợp pháp hoặc ma. Trong trò chơi này, họ cài đặt loader mã độc YouieLoad để tải payload tiếp theo vào bộ nhớ, tạo dịch vụ độc hại để quét hệ thống mạng và thu thập dữ liệu trình duyệt.

Nhóm APT Moonstone Sleet sử dụng một công ty ma tên là StarGlow Ventures trong chiến dịch tấn công social engineering. Công ty này giả danh là một công ty phát triển phần mềm hợp pháp, đăng tin tuyển dụng các dự án liên quan đến web, ứng dụng di động, blockchain và AI.

Chiến dịch kéo dài trong 4 tháng đầu năm 2024, sử dụng email nhúng pixel theo dõi để xây dựng độ tin cậy và xác định người dùng tương tác với email, chuẩn bị cho các cuộc tấn công tương lai nhằm thu lợi nhuận.

Moonstone Sleet đã tung ra công cụ ransomware mới gọi là FakePenny, được phát hiện trong hệ thống của một công ty công nghệ quốc phòng vào tháng 04/2024. Nhóm này yêu cầu tiền chuộc là 6.6 triệu đô la bằng Bitcoin.