朝鲜国家级威胁行为者使用Play勒索软件 媒体
北朝鲜骇客与Play勒索病毒团伙合作的网络攻击
主要资讯
根据 Palo Alto Networks Unit 42 周三的报告,一个与北朝鲜国家赞助的威胁组织相关的黑客,疑似在今年九月的网络攻击中与 Play 勒索病毒团伙合作。该组织于2024年5月通过被攻陷的帐户进行初步入侵,并且在后续的攻击中使用了开源工具及其自订工具进行横向移动和渗透。Unit 42 对于 Jumpy Pisces 与 Play 之间的潜在合作表示中度信心。
这是 Jumpy Pisces 首次被发现利用现有的勒索病毒基础设施,可能作为初步入侵经纪人或 Play 勒索病毒团伙的附属机构。这一策略的转变显示出他们在更广泛的勒索病毒威胁格局中有更深入的参与。
Jumpy Pisces 的背景
组织名称其他名称主要活动Jumpy PiscesAndariel Onyx Sleet Stonefly网络间谍行为与勒索病毒攻击Jumpy Pisces 与北韩人民军的侦察总局有关。过去他们曾使用自制的勒索病毒 今年7月,美国司法部对该组织一名成员提出起诉,指控其涉嫌使用定制的 Maui 勒索病毒攻击美国医疗机构。
尽管该组织传统上与网络间谍有关,但近日其攻击模式似乎转向了以经济利益为驱动的活动,可能用于资助进一步的网络攻击或北韩其他政府及军事行动。
根据安全意识倡导者 Erich Kron 的说法,这些北韩黑客擅长于进入网络,但在勒索病毒攻击方面起步较晚,因此与已有基础设施和流程的团伙合作是一个明智的选择。只有时间能够证明这种合作是否会持续。
如何跨过北韩攻击者进入 Play 勒索病毒的道路
Unit 42 在九月初对客户的攻击作出反应,并追溯到5月底的入侵事件。该威胁行为者首先开始透过 Server Message Block (SMB) 协议在受害者组织的多个主机上散布一个自定义版本的开源红队工具 Sliver,以及名为 Dtrack 的自创工具。
在六月,该威胁行为者继续扩展 Sliver,并使用 Sliver 信标与此前与 Jumpy Pisces 联系的命令控制伺服器进行沟通。到八月,攻击者开始建立恶意服务、收集网络配置资讯及利用专门的工具创建特权用户帐户。
在勒索病毒部署前几天,Jumpy Pisces 开始提取 Windows Security Account Manager (SAM) 和系统注册档存储区,并使用 Mimikatz 继续与 C2 伺服器进行通信。根据 Unit 42 的报告,与 Jumpy Pisces C2 伺服器的通信持续到九月五日勒索病毒部署的当天,而该 C2 伺服器自该日起就下线。
在九月五日,最初进行入侵的帐户再次被访问,并利用此访问进行前期勒索病毒活动,包括使用任务管理器提取 Local Security Authority Subsystem Service (LSASS) 凭证,滥用 Windows 访问令牌,以及通过 PsExec 进行系统权限提升等。在勒索病毒部署前,还大规模卸载了端点检测和响应 (EDR) 监控。
该攻击最终导致 Play 勒索病毒在九月五日对受害者的网络上多个主机进行加密。Unit 42 根据使用相同帐户进行初
闪连加速器app官网
