Moonstone Sleet: фейковые вакансии, подставные фирмы и проникновение в оборонный сектор

Относительно новая северокорейская кибергруппировка, известная под названием Moonstone Sleet, недавно была идентифицирована как ответственная за атаки на сектор программного обеспечения, информационных технологий, образования и оборонной промышленности с использованием вымогательского софта и прочих видов вредоносного ПО.

Согласно новому анализу команды обнаружения угроз Microsoft, Moonstone Sleet создаёт фальшивые компании и вакансии, чтобы обманывать своих жертв. Группа использует троянизированные версии легитимных инструментов, разрабатывает вредоносные игры и активно внедряет вымогательское ПО.

В атаках Moonstone Sleet применяются как традиционные методы, используемые другими северокорейскими хакерами, так и абсолютно уникальные техники.

Первоначально отслеживаемая под кодовым именем Storm-1789, группировка имела некоторые тактические сходства с Lazarus Group, но затем выделилась в отдельную группу с собственной инфраструктурой и методами.

Moonstone Sleet активно использует код уже известного вредоносного ПО, такого как, например, Comebacker, впервые замеченного в январе 2021 года. Также в своих атаках группа часто применяет программу PuTTY, разнообразные фриланс-платформы и социальную сеть LinkedIn.

Для достижения своих целей хакеры Moonstone Sleet используют целый ряд различных стратегий, основанных на методах социальной инженерии:

• устраиваются на работу в крупные компании в качестве разработчиков ПО, получая доступ к внутренней инфраструктуре этих компаний;
• сами создают поддельные компании, проводят фейковые собеседования с разработчиками и онлайн-встречи с инвесторами;
• заключают партнёрские контракты, получая доступ к сетям компаний в сфере критической инфраструктуры.

Так, в апреле этого года хакерам Moonstone Sleet удалось внедрить новую вариацию вымогательского ПО FakePenny в неназванную оборонную технологическую компанию.

Эксперты Microsoft подчёркивают необходимость принятия мер безопасности для защиты от атак Moonstone Sleet и предупреждают о возможных атаках на цепочки поставок. Тем временем, северокорейские хакеры продолжают адаптировать свои методы для достижения поставленных киберцелей.