Grupo norte-coreano atinge empresas de tecnologia, educação e indústria, revela Threat Intel

Agente malicioso Moonstone Sleet realiza práticas de extorsão financeira e espionagem digital

Compartilhar:

A ISH Tecnologia, referência nacional em cibersegurança, revela por meio de seu boletim informativo de Treath Intelligence, Heimdall, que a Microsoft identificou um grupo norte-coreano por trás do novo ransomware FakePenny. O agente malicioso, denominado Moonstone Sleet, é caracterizado por criar empresas e oportunidades fictícias de emprego para se aproximar de seus alvos e distribuir esse software malicioso inédito, devido às mutações. Os cibercriminosos, que fazem parte dessa organização mal-intencionada, utilizam esse malware para alcançar seus objetivos econômicos e praticar espionagem digital.

 

Com o desenvolvimento tecnológico nos últimos tempos, a organização cibercriminosa se consolidou no cenário digital como uma das principais ameaças que fazem o uso de ransomware. O Moonstone Sleet utiliza técnicas amplamente testadas por outros grupos norte-americanos, além de metodologias de ataques exclusivas.

 

Quando a Microsoft identificou as operações maliciosas do Moonstone Sleet, o grupo inicialmente fazia uso de técnicas utilizadas por antigos agentes mal-intencionados de ransomware, como o Diamond Sleet. Posteriormente, os cibercriminosos aprimoram essas táticas de disseminação dos softwares negativos, em busca de objetivos financeiros e ciberespionagem. As operações dos norte-coreanos incluem a criação de jogos fictícios e malwares personalizados, a fim de atrair a atenção de profissionais de TI para um “possível recrutamento”.

 

A Microsoft identificou que o grupo distribui uma versão trojanizada do PuTTY, um emulador de terminal de código aberto, por meio de aplicativos como LinkedIn, Telegram e plataformas de freelancers. O método usado pelo grupo envolve envios de arquivos .zip para os alvos. Esses fichários contêm dois arquivos: uma versão comprometida do putty.exe e um arquivo url.txt com um endereço IP e uma senha. Quando o usuário inseria o IP e a senha no aplicativo PuTTY, este descriptografava e executava uma carga útil embutida.

 

No mês de abril de 2024, a Microsoft observou atividades dos cibercriminosos que faziam o uso de uma novo ransomware, o FakePenny. O malware em questão, que é uma nova variante de software malicioso, possui as funções de criptografia e carregador. A empresa de tecnologia acredita que o uso desse software malicioso está voltado tanto para coleta de inteligência quanto para geração de receita.

 

Os setores alvo até a data incluem indivíduos e organizações de: software e tecnologia da informação, educação e setores de base industrial de defesa. Diante desse cenário, a ISH Tecnologia elencou dicas e recomendações a fim de combater essas práticas cibercriminosas:

Verificar a integridade dos instaladores de software de terceiros e valide a origem dos certificados de assinatura de código. Realizar verificações regulares para garantir que os softwares não foram adulterados com código malicioso.

 

Realizar treinamentos regulares de conscientização de segurança para todos os funcionários, focando em métodos de entrega comuns como spear phishing e compromissos drive-by, que são frequentemente utilizados por este grupo.

 

Aplicar regularmente patches de segurança e atualizações de software para corrigir vulnerabilidades conhecidas que podem ser exploradas por atacantes, incluindo aquelas que permitem elevação de privilégio e execução remota de código.

 

Habilitar a investigação e remediação em modo totalmente automatizado no Microsoft Defender for Endpoint para permitir ações imediatas em alertas e resolver brechas de segurança de forma eficaz.

Conteúdos Relacionados

Security Report | Overview

IA acelera ataques virtuais e amplia exigência por Segurança preventiva, aponta threat intel

Check Point e OpenAI expandem parceria estratégica para embutir modelos cibernéticos avançados diretamente nas ferramentas de proteção corporativa, combatendo o...
Security Report | Overview

Disparo falso da Defesa Civil: O que incidente representa de risco de credenciais roubadas

Uso de acessos legítimos respondeu por 25% dos vetores de entrada em ataques globais investigados pela empresa; especialistas explicam como...
Security Report | Overview

CNCiber lança modelo para avaliar maturidade de SI nacional 

Desenvolvido pelo Comitê Nacional de Cibersegurança, o modelo CIMBRA medirá a resiliência digital do país nas vertentes nacional e institucional,...
Security Report | Overview

Digitalização e IA tornam a resiliência de dados estratégica para as PMEs

Veeam destaca que pequenas e médias empresas precisam de proteção e recuperação de dados de nível corporativo com simplicidade operacional...