VietNetwork.Vn

Những tác nhân đe dọa ở Triều Tiên đã bị tình nghi liên quan đến một sự cố gần đây khi triển khai một họ phần mềm tống tiền có tên là Play, điều này cho thấy động cơ tài chính của chúng.

Hoạt động này được quan sát từ tháng 5 đến tháng 9 năm 2024 và được cho là do một tác nhân đe dọa được theo dõi là Jumpy Pisces, còn được gọi là Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (trước đây là Plutonium), Operation Troy, Silent Chollima và Stonefly.


Đơn vị 42 của Palo Alto Networks cho biết trong báo cáo mới công bố ngày hôm nay: "Chúng tôi tin chắc rằng Jumpy Pisces, hoặc một nhóm trong nhóm này, hiện đang hợp tác với nhóm ransomware Play".

"Sự cố này có ý nghĩa quan trọng vì nó đánh dấu sự hợp tác đầu tiên được ghi nhận giữa nhóm Jumpy Pisces do nhà nước Triều Tiên tài trợ và một mạng lưới ransomware ngầm."

Andariel, hoạt động ít nhất từ năm 2009, có liên kết với Tổng cục Trinh sát (RGB) của Bắc Triều Tiên. Trước đó, người ta đã phát hiện thấy nó triển khai hai loại ransomware khác có tên là SHATTEREDGLASS và Maui.

Đầu tháng này, Symantec, một bộ phận của Broadcom, lưu ý rằng ba tổ chức khác nhau tại Hoa Kỳ đã bị nhóm tin tặc do nhà nước tài trợ nhắm mục tiêu vào tháng 8 năm 2024 như một phần của cuộc tấn công có thể có động cơ tài chính, mặc dù không có phần mềm tống tiền nào được triển khai trên mạng của họ.

Mặt khác, Play là một hoạt động ransomware được cho là đã ảnh hưởng đến khoảng 300 tổ chức tính đến tháng 10 năm 2023. Nó còn được gọi là Balloonfly, Fiddling Scorpius và PlayCrypt.


Trong khi công ty an ninh mạng Adlumin tiết lộ vào cuối năm ngoái rằng hoạt động này có thể đã chuyển sang mô hình ransomware-as-a-service (RaaS), thì những kẻ đe dọa đứng sau Play đã thông báo trên trang web rò rỉ dữ liệu dark web rằng sự thật không phải vậy.

Trong sự cố do Đơn vị 42 điều tra, Andariel được cho là đã có được quyền truy cập ban đầu thông qua một tài khoản người dùng bị xâm phạm vào tháng 5 năm 2024, sau đó thực hiện các hoạt động di chuyển ngang và duy trì bằng cách sử dụng khuôn khổ chỉ huy và kiểm soát (C2) của Sliver và một cửa hậu được thiết kế riêng có tên là Dtrack (hay còn gọi là Valefor và Preft).

"Những công cụ từ xa này tiếp tục giao tiếp với máy chủ chỉ huy và kiểm soát (C2) của họ cho đến đầu tháng 9", Đơn vị 42 cho biết. "Điều này cuối cùng dẫn đến việc triển khai phần mềm tống tiền Play".

Việc triển khai phần mềm tống tiền Play diễn ra sau khi một tác nhân đe dọa không xác định xâm nhập vào mạng bằng cùng một tài khoản người dùng bị xâm phạm, sau đó chúng được quan sát thấy thực hiện thu thập thông tin đăng nhập, leo thang đặc quyền và gỡ cài đặt cảm biến phát hiện và phản hồi điểm cuối (EDR), tất cả đều là dấu hiệu của các hoạt động trước khi có phần mềm tống tiền.

Một phần khác của cuộc tấn công là một mã nhị phân trojan có khả năng thu thập lịch sử trình duyệt web, thông tin tự động điền và thông tin chi tiết về thẻ tín dụng của Google Chrome, Microsoft Edge và Brave.

Việc sử dụng tài khoản người dùng bị xâm phạm của cả Andariel và Play Asia, kết nối giữa hai bộ xâm nhập bắt nguồn từ thực tế là giao tiếp với máy chủ Sliver C2 (172.96.137[.]224) vẫn tiếp tục cho đến ngày trước khi triển khai ransomware. Địa chỉ IP C2 đã ngoại tuyến kể từ ngày triển khai diễn ra.

"Vẫn chưa rõ Jumpy Pisces có chính thức trở thành chi nhánh của Play ransomware hay không hoặc liệu họ có hoạt động như một IAB [môi giới truy cập ban đầu] bằng cách bán quyền truy cập mạng cho các tác nhân ransomware Play hay không", Unit 42 kết luận. "Nếu Play ransomware không cung cấp hệ sinh thái RaaS như tuyên bố, Jumpy Pisces chỉ có thể hoạt động như một IAB".