ClickCease Nordkoreanische Attacke: Hacker nutzen Spiel für finanziellen Gewinn - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

Nordkoreanische Attacke: Hacker nutzen Spiel für finanziellen Gewinn

von Wajahat Raja

11. November 2024. TuxCare-Expertenteam

Jüngsten Medienberichten zufolge sind mehrere mit Nordkorea verbundene Bedrohungsakteure in die Verwendung einer bekannten Ransomware-Familie namens Play verwickelt. Berichte behaupten, dass der nordkoreanische Angriff aus finanziellen Motiven inszeniert wurde. In diesem Artikel werden wir die Details des nordkoreanischen Angriffsden Lebenszyklus des Angriffs, die Werkzeuge und vieles mehr aufdecken. Fangen wir an!

Nordkoreanischer Angriff Akteur der Bedrohung aufgedeckt

Bevor wir uns mit den Einzelheiten des nordkoreanischen Angriffsist es erwähnenswert, dass zwischen Mai und September 2024 Aktivitäten beobachtet wurden, die mit diesem Angriff zusammenhängen. Diese Aktivitäten wurden dem Bedrohungsakteur namens Jumpy Pisces zugeschrieben. Der Bedrohungsakteur ist auch unter mehreren Namen bekannt, darunter:

  • Andariel.
  • APT45.
  • DarkSeoul.
  • Nickel Hyatt. 
  • Onyx Sleet (ehemals Plutonium).
  • Operation Troja. 
  • Stille Chollima. 
  • Steinfliege.

Der Bedrohungsakteur hinter dem Angriff aus Nordkorea wurde von Palo Alto Network Unit 42 identifiziert. Es wird vermutet, dass die Entität von Nordkorea gesponsert wird und mit dem Reconnaissance General Bureau der koreanischen Volksarmee verbunden ist.

Die Gruppe war an verschiedenen Online-Initiativen beteiligt, darunter Cyberspionage, Finanzkriminalität und Ransomware-Angriffe. Erste Untersuchungen haben ergeben, dass sich die Taktik der Gruppe angesichts der Zusammenarbeit mit der Play-Ransomware geändert hat. 

Es ist erwähnenswert, dass die Gruppe mit dieser Änderung zum ersten Mal eine bestehende Ransomware-Infrastruktur nutzt. Während des Angriffs könnte die Gruppe als Initial Access Broker (IAB) oder eine Tochtergesellschaft von Play fungiert haben. 

Darüber hinaus unterstreicht dieser taktische Wechsel die stärkere Beteiligung der Gruppe an der breiteren Ransomware-Bedrohungslandschaft. Jumpy Pisces wurde außerdem vom US-Justizministerium wegen der Entwicklung einer speziellen Malware namens Maui angeklagt. 

Jumpy Pisces Cyber-Attacke Erste Entdeckung

Die erste Entdeckung des Jumpy Pisces-Angriffs geht auf September 2024 zurück, die Play-Ransomware wurde jedoch erstmals Mitte 2022 gemeldet. Anfang September befasste sich Unit 42 mit einer Anfrage zur Reaktion auf einen Vorfall bei einer Organisation, die vermutlich von der Play-Ransomware betroffen war. 

Es ist erwähnenswert, dass Play vermutlich die geschlossene Gruppe ist, die die Bedrohung durch die Entwicklung und Ausführung der Angriffe betreibt. Die Ergebnisse legen nahe, dass die Gruppe zu einem Ransomware-as-a-Service (RaaS)-Betriebsmodell übergegangen ist. Allerdings hat die Hackergruppe einen solchen Übergang auf ihrer Leak-Site bestritten. 

Im Rahmen der Untersuchung des Angriffs wurde festgestellt, dass Jumpy Pisces im Mai 2024 über ein kompromittiertes Benutzerkonto einen ersten Zugang erlangte. 

Angriffswerkzeuge im Detail 

Nachdem sie sich den Zugang verschafft hatten, wurden mehrere seitliche Bewegungen durchgeführt, die es dem Bedrohungsakteur ermöglichten, sich zu behaupten. Darüber hinaus verbreitete die Hackergruppe ein Open-Source-Tool namens Sliver und ihre eigene Malware namens DTrack auf andere Hosts. Für diese Verbreitung wurde das SMB-Protokoll (Server Message Block) verwendet. 

Cybersecurity-Experten, die den Angriff nordkoreanischen Angriffuntersuchten, entdeckten mehrere Tools, die bis zum Einsatz der Play-Ransomware verwendet wurden. Diese Tools umfassen:

  • Faserband - Sliver ist eine angepasste Version des Open-Source-Red-Teaming-Tools, das für C2-Initiativen verwendet wird. Bei jüngsten Angriffen wurde das Tool als Alternative für Cobalt Strike beobachtet. Dieses angepasste Tool sendet Baken an die IP-Adresse "172.96.137[.]224." Sowohl diese IP-Adresse als auch ihre Domäne, "americajobmail[.]site," wurden mit Jumpy Pisces in Verbindung gebracht.
  • DTrack - DTrack ist ein Infostealer, der bereits bei Online-Kriminalität eingesetzt wurde, die Berichten zufolge auf Nordkorea zurückzuführen ist. Der nordkoreanische Angriff Infostealer sammelt zunächst Daten, komprimiert sie dann und tarnt sie als GIF-Datei.
  • Mimikatz - Mimikatz ist eine angepasste Version des öffentlich zugänglichen Tools zum Auslesen von Anmeldeinformationen, das die folgende Datei verwendet "C:\windows\temp\KB0722.log" als Dump-Protokoll verwendet.

Abgesehen von diesen Tools nutzte der Bedrohungsakteur auch ein spezielles Tool, das für die Erstellung eines privilegierten Benutzerkontos auf den kompromittierten Geräten entwickelt wurde. Zu diesem Zweck nutzte das Tool das Remote Desktop Protocol (RDP). 

Darüber hinaus wurde ein trojanisiertes Binärprogramm verwendet, um den Browserverlauf, automatische Ausfüllungen und Kreditkartendaten für Chrome, Edge und Brave zu stehlen. Die von der Binärdatei gestohlenen Informationen wurden in der Datei "%TEMP%" Verzeichnis gespeichert. Die Experten von Unit 42 lieferten weitere Erkenntnisse angegeben dass:

Alle oben genannten Dateien wurden mit einigen ungültigen Zertifikaten signiert, auf die wir im Abschnitt "Anzeichen für eine Kompromittierung" dieses Artikels hinweisen. Diese Zertifikate, die zuvor mit Jumpy Pisces verknüpft waren, ermöglichten es den Dateien, sich als solche auszugeben, die von legitimen Unternehmen erstellt wurden."

Ransomware-Reihenfolge und Lebenszyklus spielen

Nach der Verteilung kommunizierten die Remote-Tools bis Anfang September mit ihrem Command-and-Control-Server (C2), so dass die Play-Ransomware eingesetzt werden konnte. Die Gruppe hatte von Mai 2024 bis September 2024 Zugriff auf das Netzwerk; im Folgenden wird der genaue Ablauf der Ereignisse dargestellt. 

28. Mai bis 31. Mai 

In dieser Zeit wurden die ersten Anzeichen für bösartige Aktivitäten entdeckt. Zum Start des nordkoreanischen Angriffkompromittierten die Hacker zunächst ein Benutzerkonto, um einen ersten Zugang zu erhalten. Danach führten sie einen partiellen Dump der Registrierung durch, um Zugriff auf Anmeldeinformationen zu erhalten, und begannen, Sliver und DTrack auf mehrere Hosts zu verbreiten.

5. Juni bis 25. Juni 

Nach der Bereitstellung der bösartigen Tools leiteten die Hacker das Sliver C2 Beaconing ein. Das Tool wurde auf andere Hosts verteilt, während der Beaconing-Prozess weiterlief. Nach erfolgreicher Bereitstellung wurden die Tools zum Starten von Internetbrowsern mit benutzerdefinierten Datendirektoren verwendet und Sandboxing-Funktionen deaktiviert. 

3. August bis 30. August 

In dieser Phase des nordkoreanischen Angriffsbeginnen die Hacker mit der Entwicklung von Persistenz und internen Erkennungsprotokollen. Dazu gehörten die Erstellung eines bösartigen Dienstes, das Sammeln von Netzwerkkonfigurationsdaten, die Durchführung von RDP-Sitzungen und C2-Beaconing.

2. September bis 4. September 

In der vierten Phase des nordkoreanischen Angriffswurde der Zugriff auf Anmeldeinformationen erlangt. Danach begannen die Bedrohungsakteure mit der Extraktion von Windows Security Account Manager (SAM), Security und System Registry Hives.

5. September 

Diese Phase des nordkoreanischen Angriffs begannen die Aktivitäten vor der Ransomware. Um das kompromittierte System auf den Einsatz der Ransomware vorzubereiten, wurden verschiedene böswillige Initiativen gestartet. Dazu gehören:

  • Verwendung des Task-Managers für den LSASS-Dump. 
  • Missbrauch von Windows-Zugriffstoken. 
  • Verwendung von PsExec für seitliche Bewegungen. 
  • Eskalation zum SYSTEM. 
  • Einsatz von EDR-Sensoren.

Sobald diese Aktivitäten erfolgreich abgeschlossen waren, wurden mehrere Hosts in diesem Netzwerk, die kompromittiert worden waren, von der Play-Ransomware verschlüsselt. 

Minderungsmaßnahmen zur Gewährleistung des Schutzes 

Bevor wir uns mit den Abhilfemaßnahmen befassen, sollten wir erwähnen, dass das kompromittierte Konto, das bei diesem nordkoreanischen Angriff verwendet wurde, um sich den ersten Zugang zu verschaffen, dasselbe war, das auch bei früheren Ransomware-Einsätzen verwendet wurde. Palo Alto Network hat erklärt, dass diese Erkenntnisse an die Mitglieder der Cyber Threat Alliance (CTA) weitergegeben wurden.

Diese Experten werden diese Erkenntnisse wahrscheinlich für den Einsatz von Schutzmaßnahmen die die Sicherheit ihrer Kunden gewährleisten. Zum Ausmaß der Bedrohung haben die Experten von Unit 42 Folgendes erklärt:

"Wir gehen davon aus, dass ihre Angriffe zunehmend auf eine Vielzahl von Opfern auf der ganzen Welt abzielen werden. Netzwerkverteidiger sollten die Aktivitäten von Jumpy Pisces als potenziellen Vorläufer von Ransomware-Angriffen und nicht nur als Spionage betrachten, was die Notwendigkeit erhöhter Wachsamkeit unterstreicht."

Vorerst werden die Benutzer aufgefordert, sich an das Unit 42 Vorfall-Reaktionsteam zu kontaktieren, wenn sie glauben, dass sie Opfer des nordkoreanischen Angriff.

Schlussfolgerung 

Die Angriff aus Nordkorea der von Jumpy Pisces inszeniert wurde, zeigt eine gefährliche Verschiebung der Ransomware-Taktik, bei der von Nordkorea unterstützte Hacker auf finanziellen Gewinn abzielen. Mit Tools wie Sliver, DTrack und Play Ransomware führten die Cyberkriminellen über Monate hinweg einen ausgeklügelten mehrstufigen Angriff durch.

Da sich Ransomware ständig weiterentwickelt, ist es für Unternehmen wichtig, wachsam zu bleiben und robuste Sicherheitsmaßnahmenund nach Anzeichen für eine Gefährdung durch Online-Bedrohungsakteure zu suchen.

Zu den Quellen für diesen Beitrag gehören Artikel in Die Hacker-Nachrichten und Einheit 42.

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Werden Sie ein TuxCare-Gastautor

E-Mail

Helfen Sie uns,
die Linux-Landschaft zu verstehen!

Füllen Sie unsere Umfrage zum Stand von Open Source aus und gewinnen Sie einen von mehreren Preisen, wobei der Hauptpreis mit 500 $ dotiert ist!

Ihr Fachwissen ist gefragt, um die Zukunft von Enterprise Linux zu gestalten!