Atuantes ligados à Coreia do Norte têm sido implicados em um incidente recente que envolveu a implantação de uma família de ransomware conhecida como Play, destacando suas motivações financeiras.
A atividade, observada entre maio e setembro de 2024, foi atribuída a um atuante de ameaças rastreado como Jumpy Pisces, que também é conhecido como Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anteriormente Plutonium), Operation Troy, Silent Chollima e Stonefly.
"Acreditamos com moderada confiança que o Jumpy Pisces, ou uma facção do grupo, está agora colaborando com o grupo de ransomware Play," a Unit 42 da Palo Alto Networks disse em um novo relatório publicado hoje.
Este incidente é significativo porque marca a primeira colaboração registrada entre o grupo patrocinado pelo estado norte-coreano Jumpy Pisces e uma rede de ransomware subterrânea.
Andariel, ativo desde pelo menos 2009, é afiliado ao Reconnaissance General Bureau (RGB) da Coreia do Norte.
Foi observado anteriormente implantando outras duas cepas de ransomware conhecidas como SHATTEREDGLASS e Maui.
No início deste mês, a Symantec, parte da Broadcom, observou que três organizações diferentes nos EUA foram alvo da equipe de hacking patrocinada pelo estado em agosto de 2024 como parte de um ataque provavelmente motivado financeiramente, mesmo que nenhum ransomware tenha sido implantado em suas redes.
Play, por outro lado, é uma operação de ransomware que acredita-se ter impactado aproximadamente 300 organizações até outubro de 2023.
Também é conhecido como Balloonfly, Fiddling Scorpius e PlayCrypt.
Enquanto a empresa de cibersegurança Adlumin revelou no final do ano passado que a operação pode ter transitado para um modelo de ransomware-as-a-service (RaaS), os atuantes por trás do Play anunciaram desde então em seu site de vazamentos de dados na dark web que não é o caso.
No incidente investigado pela Unit 42, acredita-se que Andariel ganhou acesso inicial por meio de uma conta de usuário comprometida em maio de 2024, seguido por movimento lateral e atividades de persistência usando o framework de comando e controle (C2) Sliver e uma backdoor personalizada chamada Dtrack (também conhecida como Valefor e Preft).
"Essas ferramentas remotas continuaram a comunicar com seu servidor C2 até o início de setembro," disse a Unit 42.
Isso levou finalmente à implantação do ransomware Play. A implantação do ransomware Play foi precedida por um atuante de ameaça não identificado infiltrando-se na rede usando a mesma conta de usuário comprometida, após o qual foram observadas ações de colheita de credenciais, escalada de privilégios e desinstalação de sensores de detecção e resposta em endpoints (EDR), todos marcos de atividades pré-ransomware.
Também utilizado como parte do ataque foi um binário trojanizado capaz de colher histórico do navegador web, informações de auto-preenchimento e detalhes de cartão de crédito para o Google Chrome, Microsoft Edge e Brave.
O uso da conta de usuário comprometida por Andariel e Play à parte, a conexão entre os dois conjuntos de intrusão deriva do fato de que a comunicação com o servidor C2 Sliver (172.96.137[.]224) permaneceu contínua até o dia anterior à implantação do ransomware.
O endereço IP do C2 foi desligado desde o dia da implantação.
A Unit 42 disse ao The Hacker News que o incidente de ransomware compartilha várias sobreposições nas ferramentas, infraestrutura, seleção de alvos e cronograma com os ataques divulgados pela Symantec.
De interesse é o endereço IP do C2 Sliver, que a Symantec sinalizou como usado em conjunto com a utilidade de conexão de linha de comando Plink.
"Observamos que o atuante de ameaça usou o endereço IP 172.96.137[.]224 principalmente para atividade C2 Sliver," disse Navin Thomas, pesquisador de ameaças na Unit 42.
Dito isso, este endereço IP foi usado para vários propósitos, com múltiplas portas abertas servindo diferentes funções, incluindo Sliver, um serviço web para distribuição de ferramentas, e serviços SSH.
No entanto, não conseguimos verificar o uso de Plink a partir deste IP em nossa investigação. Independentemente da natureza exata da colaboração entre os dois grupos de ameaça, o desenvolvimento é um sinal de que atuantes de ameaça norte-coreanos poderiam organizar ataques de ransomware mais abrangentes no futuro para evadir sanções e gerar receita para a nação com dificuldades financeiras.
"Permanece incerto se o Jumpy Pisces se tornou oficialmente um afiliado para o ransomware Play ou se atuaram como um corretor de acesso inicial (IAB) vendendo acesso à rede para atuantes do ransomware Play," concluiu a Unit 42.
Se o ransomware Play não proporciona um ecossistema RaaS como afirma, o Jumpy Pisces pode ter atuado apenas como um IAB.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...