Nhóm này tạo ra các công ty ma và các cơ hội việc làm giả mạo để phân phối các công cụ hợp pháp bị nhiễm trojan, phần mềm độc hại trò chơi và ransomware.
Ban đầu được theo dõi với tên Storm-1789, Moonstone Sleet đã được xác định là một nhóm riêng biệt nhờ cơ sở hạ tầng và kỹ thuật tấn công riêng, có nhiều điểm tương đồng với Nhóm Lazarus. Cả hai nhóm đều sử dụng mã nguồn của phần mềm độc hại nổi tiếng như Comebacker.
Từ tháng 8 năm 2023, nhóm tấn công đã sử dụng phiên bản sửa đổi của công cụ PuTTY. Họ đã gửi một tệp .ZIP chứa PuTTY bị nhiễm trojan và một tệp url.txt chứa địa chỉ IP và mật khẩu.
Khi người dùng nhập thông tin này vào PuTTY, tải trọng sẽ được giải mã và thực thi. Tải trọng này là SplitLoader, thực hiện một loạt tác vụ để tải xuống và chạy các tệp từ máy chủ C&C.
Một chuỗi tấn công khác sử dụng các gói npm độc hại được phân phối qua LinkedIn hoặc các trang web làm nghề tự do. Nhóm tấn công đã tạo ra các công ty giả mạo để gửi các tệp .ZIP chứa các gói npm được ngụy trang dưới dạng bài kiểm tra kỹ năng kỹ thuật.
Các gói npm này kết nối với máy chủ C&C để tải xuống tải trọng hoặc trích xuất thông tin xác thực từ quy trình Windows LSASS. Đáng chú ý, chiến thuật này đã được sử dụng trong chiến dịch Contagious Interview, đây là phương thức phát tán phần mềm độc hại phổ biến của nhóm APT Triều Tiên có tên Jade Sleet.
Ngoài ra, Moonstone Sleet còn sử dụng một trò chơi độc hại được phát tán qua tin nhắn hoặc email. Nhóm này giả vờ là một nhà phát triển trò chơi cần đầu tư hoặc trợ giúp từ nhà phát triển khác và sử dụng tên của một công ty blockchain hợp pháp hoặc không có thật. Trong trò chơi này, họ đã cài đặt trình tải độc hại YouieLoad để tải trọng tải tiếp theo vào bộ nhớ, tạo ra một dịch vụ độc hại để quét mạng và thu thập dữ liệu trình duyệt.
Nhóm APT Moonstone Sleet đã sử dụng một công ty ma tên là StarGlow Ventures trong chiến dịch tấn công kỹ thuật xã hội của mình. Công ty này giả danh là một công ty phát triển phần mềm hợp pháp, đăng quảng cáo tuyển dụng cho các dự án liên quan đến web, ứng dụng di động, blockchain và AI.
Chiến dịch kéo dài trong 4 tháng đầu năm 2024, sử dụng email được nhúng pixel theo dõi để tạo dựng lòng tin và xác định người dùng tương tác với email, chuẩn bị cho các cuộc tấn công trong tương lai nhằm thu lợi nhuận.
Moonstone Sleet đã phát hành một công cụ ransomware mới có tên FakePenny, được phát hiện trong hệ thống của một công ty công nghệ quốc phòng vào tháng 4 năm 2024. Nhóm này yêu cầu khoản tiền chuộc 6,6 triệu USD bằng Bitcoin.
Link nguồn: https://cafef.vn/microsoft-tiet-lo-ve-nhom-tan-cong-moi-moonstone-sleet-188240607110037821.chn