一项最新的安全研究表明,一个名为“Moonstone Sleet”的网络威胁团体与北朝鲜政府紧密相关,正在使用经过验证的社交工程策略进行攻击,同时也在不断完善其战术、技术和程序。
根据微软在5月28日的博客文章,Moonstone Sleet正在设立假公司来接触潜在目标,使用合法工具的木马版本,创建恶意游戏,并分发定制的勒索软件。
Moonstone Sleet的主要目标是进行间谍活动和收入生成,已对软件、信息技术、教育和国防工业等领域的个人及组织展开攻击。
例如,微软研究人员提到,从1月到4月,一个名为“StarGlow Ventures”的假冒公司伪装成合法软件开发公司,使用自定义域名、虚假员工形象和社交媒体账户进行电子邮件活动,目标是成千上万的教育和软件开发领域的组织。
除了设立假公司外,微软还观察到Moonstone Sleet的成员正在各大合法公司申请软件开发职位。这一行为与美国司法部之前报告的北朝鲜使用高技能的远程IT工作者来获取收入的情况相符合。也可能是他们获取潜在受害组织的另一种途径。
Critical Start的威胁检测工程师亚当尼尔表示,Moonstone Sleet最显著的策略是其广泛使用社交工程。尼尔指出,他们似乎主要瞄准开发者,试图诱骗他们运行自己开发的各种恶意载荷,甚至以设立假公司、创建网站来传播谎言的方式。尼尔强调,利用这些假公司使得威胁行为者得以欺骗开发者下载实际上是恶意NPM包的“技能测试”。
白鲸加速器破解方法Moonstone Sleet的另一个目标是通过雇佣自己的一些开发者来渗透公司,尼尔表示,虽然他们正在主动寻找就业机会,但尚未确认其开发者已被聘用。
“企业需保持警惕,对所有员工进行背景调查,以确认他们的真实身份,”尼尔说。“为了应对日益复杂的威胁,公司和个人需要继续采用最佳安全实践。网络钓鱼和社交工程愈加先进,因此确保进行培训,以防止社交工程企图是至关重要的。”
Moonstone Sleet的攻击凸显了全面背景调查、详尽筛选流程和持续员工监控的必要性,Checkmarx的产品增长负责人史蒂夫布恩表示。
“公司必须在严格的安全措施与当前的人才短缺之间找到平衡,”布恩说。“建立强大的内部安全协议,促进安全意识文化对抵御此类威胁至关重要。”
Moonstone Sleet能够将传统网络犯罪方法与国家行为者的策略相结合,这一点令人特别担忧,DoControl的联合创始人兼首席执行官亚当加维什指出。该威胁行为者的多元化战略从设立假公司以分发定制勒索软件到利用被攻击的工具进行直接入侵展现了一种复杂性,给防御措施带来了挑战。
“Moonstone Sleet突出的一个战术是其利用LinkedIn、Telegram和开发者自由职业网站等可信平台来针对受害者,”加维什说。“这利用了这些平台固有的信任,使他们
