Moonstone Sleet, el actor de amenazas de Corea del Norte que mejora sus TTP´s

Microsoft ha identificado un nuevo actor de amenazas norcoreano, llamado Moonstone Sleet, previamente conocido como Storm-1789. Este grupo emplea una combinación de técnicas tradicionales y metodologías únicas para llevar a cabo ataques con objetivos financieros y de ciberespionaje. Entre sus tácticas, Moonstone Sleet crea empresas falsas y oportunidades laborales para atraer a sus víctimas, utiliza versiones troyanizadas de herramientas legítimas, desarrolla juegos maliciosos como DETANKWAR, y despliega un ransomware personalizado llamado FakePenny. Aunque inicialmente compartía infraestructura con Diamond Sleet, Moonstone Sleet ahora opera de manera independiente y está bien financiado. 

Qué sabemos del actor de amenazas

Moonstone Sleet es un actor de amenazas vinculado al estado de Corea del Norte, identificado por Microsoft, que emplea una combinación de técnicas tradicionales y métodos únicos. Inicialmente, su actividad mostraba una fuerte superposición con Diamond Sleet, reutilizando código de malware conocido y técnicas establecidas como el uso de redes sociales para entregar software troyanizado. Sin embargo, Moonstone Sleet pronto comenzó a operar con su propia infraestructura realizando ataques personalizados. Microsoft ha observado que ambos grupos, Moonstone Sleet y Diamond Sleet, realizan operaciones simultáneas para lograr comprometer a sus objetivos.

Campañas realizadas por Moonstone Sleet

Campaña 1 (PuTTY troyanizado)

A principios de agosto de 2023, Microsoft observó que Moonstone Sleet distribuía una versión troyanizada de PuTTY a través de aplicaciones como LinkedIn y Telegram. Los atacantes enviaban un archivo .zip con putty.exe troyanizado y un archivo url.txt con una IP y contraseña. Al ingresar estos datos en PuTTY, se descifraba y ejecutaba una carga útil oculta. Este método ya había sido utilizado previamente por Diamond Sleet con técnicas de antianálisis similares.

Ilustración 1: Cadena de ataque PuTTY troyanizado
Fuente: Microsoft

Campaña 2 (Paquetes npm maliciosos)

Otra de las técnicas empleadas por Moonstone Sleet apunta a víctimas mediante proyectos con paquetes npm maliciosos, distribuidos a través de sitios web y plataformas como LinkedIn. Usando empresas falsas, el actor enviaba archivos .zip con paquetes npm maliciosos que se conectaban a IPs controladas por el actor para desplegar cargas útiles como SplitLoader y robar credenciales de LSASS. Microsoft colaboró con GitHub para eliminar los repositorios asociados a esta actividad.

Campaña 3 (Juego DeTankWar)

Desde febrero de 2024, Microsoft ha observado que Moonstone Sleet utiliza un juego de tanques malicioso llamado DeTankWar para infectar dispositivos. El grupo se acerca a sus objetivos a través de mensajería o correo electrónico, presentándose como desarrolladores de juegos o empresas blockchain legítimas. Para reforzar la legitimidad del juego, han creado sitios web como detankwar[.]com y muchas cuentas en X (Twitter). Utilizando empresas falsas como CC Waterfall, envían correos electrónicos que ofrecen colaboración y enlaces para descargar el juego. Al iniciarlo, se cargan DLL maliciosas, incluyendo el cargador de malware YouieLoad, que ejecuta funciones maliciosas como descubrimiento de redes y robo de credenciales.

Campaña 4 (Secuestro de datos)

En abril de 2024, Microsoft observó que Moonstone Sleet desplegó una nueva variante de ransomware personalizada llamada FakePenny contra una empresa comprometida previamente en febrero. FakePenny incluye un cargador y un cifrador, marcando la primera vez que este grupo utiliza ransomware. El objetivo de Moonstone Sleet parece ser financiero, complementando sus operaciones de inteligencia y espionaje. La nota de rescate de FakePenny es similar a la utilizada por Seashell Blizzard en NotPetya, y la demanda de rescate fue de 6,6 millones de dólares en BTC, significativamente más alta que las de anteriores ataques de ransomware norcoreanos como WannaCry 2.0 y H0lyGh0st.

Ilustración 2: Nota de rescate FakePenny
Fuente: Microsoft

Campaña 4 Empresas falsas

Desde enero de 2024, Microsoft ha observado que Moonstone Sleet crea varias empresas falsas que se hacen pasar por desarrollo de software y servicios de TI, generalmente relacionados con blockchain e inteligencia artificial. El actor ha utilizado estas empresas para llegar a objetivos potenciales, utilizando una combinación de sitios web creados y cuentas de redes sociales para agregar legitimidad a sus campañas.

Campaña 5 Empresas StarGlow

De enero a abril de 2024, Moonstone Sleet operó la empresa falsa StarGlow Ventures, haciéndose pasar por una legítima firma de desarrollo de software. Utilizando un dominio personalizado, empleados falsos y cuentas de redes sociales, la campaña de correo electrónico apuntó a miles de organizaciones en los sectores de educación y desarrollo de software. En los correos electrónicos, Moonstone Sleet elogiaba el trabajo de la organización objetivo y ofrecía colaboración en proyectos futuros, destacando su experiencia en desarrollo web, aplicaciones móviles, blockchain e inteligencia artificial. Los correos incluían un píxel de seguimiento para monitorear la interacción y un enlace a una página ficticia para cancelar la suscripción. Aunque no contenían enlaces maliciosos, Microsoft evalúa que la campaña buscaba establecer relaciones con las organizaciones objetivo, potencialmente para obtener acceso o generar ingresos. Microsoft notificó a los clientes afectados por esta campaña.

Apreciación

La evolución y efectividad de las tácticas de Moonstone Sleet destacan su capacidad para cumplir los objetivos cibernéticos de Corea del Norte, utilizando métodos desarrollados por otros actores de amenazas norcoreanos. Su incursión en trabajos de TI y ransomware indica una ampliación de capacidades más allá del beneficio financiero. Las operaciones simultáneas y el uso de técnicas de otros grupos sugieren que Moonstone Sleet está bien financiado y equipado con experiencia cibernética previa. La colaboración entre actores de amenazas norcoreanos en el uso de tácticas similares sugiere un intercambio de conocimientos y técnicas. Aunque Moonstone Sleet aún no ha realizado ataques a la cadena de suministro, su enfoque en empresas de desarrollo de software plantea un riesgo significativo para futuros ataques. En el contexto de cambios en la política y seguridad de Corea del Norte, Moonstone Sleet se perfila como un actor de amenazas sofisticado y preeminente en apoyo del régimen norcoreano.

El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:

• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Las campañas de phishing se caracterizan por tener faltas de ortografía o errores en el diseño. Revisa el contenido con detención, y desconfía de correos con imperfecciones.
• Desconfía de los correos alarmantes. Si un mensaje le indica o incentiva a tomar decisiones apresuradas o en un tiempo limitado, probablemente se trata de phishing.
• Disponer de sistemas antispam para correos electrónicos, de esta manera se reducen las posibilidades de infección a través de campañas masivas de malspam por correo electrónico.
• Proteger el protocolo RDP:
  • Deshabilite los servicios RDP, si no es necesario. La desactivación de servicios no utilizados e innecesarios ayuda a reducir su exposición a las vulnerabilidades de seguridad, y es una buena práctica de seguridad.
  • Si no es posible cerrarlos, límite las direcciones de origen que pueden acceder a los puertos.
  • Proteger el acceso a los sistemas RDP, bloqueando el sistema local en lugar del sistema remoto. Incluso si el primero no tiene valor, la sesión RDP solo estará protegida limitando el acceso al sistema cliente. 
  • Desconectar sesiones RDP en lugar de bloquearlas, esto invalida la sesión actual, lo que impide una reconexión automática de la sesión RDP sin credenciales. 
  • Bloquear bidireccionalmente el puerto TCP 3389 utilizando un firewall o hacerlo accesible sólo a través de una VPN privada. 
  • Habilitar la autenticación de nivel de red (NLA).
• Tener políticas de respaldo periódico que se almacenen fuera de la red organizacional.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir los ransomwares.
• Mantener una buena estrategia de respaldo de información: sistemas de copias de seguridad que deben estar aisladas de la red; y políticas de seguridad. Lo anterior permitirá neutralizar el ataque, restaurar las operaciones y evitar el pago del rescate.
• Actualizar los equipos con Windows a las últimas versiones.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Establecer políticas de seguridad en el sistema para impedir la ejecución de ficheros desde directorios comúnmente utilizados por Ransomware (App Data, Local App Data, etc.)
• Mantener listas de control de acceso para las unidades mapeadas en red restringiendo los privilegios de escritura. Con esto podrá identificar el impacto generado por el cifrado de archivos, entendiendo que el secuestro de información se producirá en todas las unidades de red mapeadas en el equipo víctima.
• Seguir las normativas internacionales tales como ISO 27001:2013 en su control A.7.2.2 “Concienciación con educación y capacitación en seguridad de la información” o NIST PR.AT-1: “Todos los usuarios se encuentran entrenados e informados”, a fin de tener bases para divulgar campañas educativas orientadas a nivel de usuarios respecto al correcto uso de las herramientas tecnológicas, haciendo énfasis en cómo proceder al recibir correos de orígenes desconocidos, objeto prevenir que sus usuarios sean víctimas de entes maliciosos.