执行摘要
本威胁公告是 PolySwarm 2024 年回顾系列的一部分。本报告重点介绍了 2024 年朝鲜威胁行为者所实施的活动。
关键要点
本报告重点介绍了 2024 年朝鲜威胁行为者实施的活动。
本报告中提到的威胁行为者包括 Silent Chollima、Labyrinth Chollima、Velvet Chollima、Stardust Chollima、Ricochet Chollima、Famous Chollima 和 Moonstone Sleet。
PolySwarm 在 2024 年追踪了与多个朝鲜关系威胁行为者相关的恶意软件。
2024 年朝鲜 Nexus 威胁行为者活动
沉默的千里马
Silent Chollima,又名 Stonefly、Andariel、Onyx Sleet、TDrop2 和 DarkSeoul,是一个朝鲜威胁行为者组织,据报道是 Lazarus Group 的一个分支。该组织至少自 2009 年以来一直活跃,并以朝鲜的名义开展间谍活动而闻名。他们与朝鲜侦察总局有联系。最近,该组织被发现从事以经济利益为目的的活动。Silent Chollima 瞄准的垂直领域包括军事、国防、工程、技术、教育、建筑、制造、赌博和能源。他们的目标主要位于印度、韩国和美国。
众所周知,Silent Chollima 最初会使用鱼叉式网络钓鱼来获取初始访问权限。然而,他们最近也开始利用 N-day 漏洞。例如,在 2023 年末,该组织被发现利用 TeamCity 漏洞 CVE-2023-42793,使他们能够执行远程代码执行并获得对服务器的管理控制权。
Silent Chollima 拥有大量自定义工具和恶意软件,并定期改进其 TTP 以适应威胁形势的变化并逃避检测。这些自定义工具包括 RAT 和勒索软件。与 Silent Chollima 相关的自定义恶意软件包括但不限于 Dtrack (Preft)、Dora RAT、TigerRAT、SmallTiger、LightHand 和 ValidAlpha。该组织还使用开源工具,包括 Sliver、RMM 工具、SOCKS 代理工具、Ngrok 和 masscan。
活动
2024 年 7 月,美国司法部 (DOJ) 起诉了一名与“沉默千里马”组织有关的个人,美国各机构发布了联合网络安全警告,警告该组织一直在从事间谍活动,以推进朝鲜的军事和核计划。
2024 年 8 月,有人观察到 Silent Chollima 正在转移 TTP。该组织传统上专注于针对高情报价值实体的间谍活动,但勒索和其他以经济为目的的活动有所增加。
Silent Chollima 开始使用 Preft 后门,也称为 Dtrack 和 Valefor。
迷宫千里马
Labyrinth Chollima,又名 Gleaming Pisces、AppleJeus、Nickel Academy、Hidden Cobra、Citrine Sleet 和 UNC4736,是一个由国家支持的威胁行为者团体,可能隶属于朝鲜侦察总局 121 局。该组织至少从 2018 年开始活跃。据报道,该组织的成员在中国沈阳接受过恶意软件和间谍活动的培训。Labyrinth Chollima 以间谍活动、破坏活动和以经济为目的的攻击而闻名。
去年,Labyrinth Chollima 被发现利用了带有后门的 UltraVNC 客户端,并使用了 CyberLink 应用程序的木马版本。与 Labyrinth Chollima 相关的其他 TTP 包括 LightlessCan、KandyKorn、SugarLoader 和 Hloader。过去,该组织曾参与供应链攻击和加密货币平台攻击。
活动
2024 年 8 月,据观察 Labyrinth Chollima 利用基于 Chromium 的网络浏览器的安全漏洞来传播 FudModule 根工具包。
2024 年第三季度,研究人员观察到 Labyrinth Chollima 使用有毒的 Python 包来传播 PondRAT,这是一个针对 MacOS 和 Linux 系统的后门。
还观察到威胁行为者使用 PoolRAT 的新 Linux 变种(SimpleSea)。
天鹅绒千里马
Velvet Chollima,又名 Kimsuky、Thallium、APT43、Emerald Sleet、Springtail 和 Black Banshee,是一个朝鲜威胁行为者组织,被认为是 Lazarus Group 的一个分支。他们与朝鲜侦察总局 (RGB) 有联系,可能是第五局的一部分。该组织至少自 2014 年以来一直活跃,通常进行间谍活动。
Velvet Chollima 的目标包括政府雇员、智库、学者和人权组织。他们还从事网络犯罪活动,包括窃取加密货币,然后利用这种非法活动的收益资助间谍活动。该组织在攻击中结合使用社会工程学和中等复杂的技术能力。
活动
在早在 2024 年 2 月就开始的间谍活动中,Velvet Chollima 使用 TrustPKI 和 NX_PRNMAN 的木马软件安装包来传播 Gomir 恶意软件。该活动还传播了另一个新的恶意软件家族 Troll Stealer。
2024 年 3 月,Velvet Chollima 使用 TRANSLATEXT 攻击韩国学者。
2024 年 5 月,美国各机构发布了联合网络安全咨询警告,称 Velvet Chollima 正在利用薄弱的 DMARC 安全政策,试图掩盖鱼叉式网络钓鱼活动。
2024 年下半年,有人观察到 Velvet Chollima 使用 KLogEXE 和 FPSpy 恶意软件家族进行有针对性的攻击。
星尘千里马
Stardust Chollima 又名 BlueNoroff、TA444、APT38、BlackAlicanto、Coperenicum 和 Sapphire Sleet,是一个朝鲜威胁行为者组织,可能是 Lazarus Group 的一个分支。据信他们与朝鲜侦察总局 121 局有关联。该组织以经济动机活动而闻名,包括针对银行、赌场、加密货币交易所、ATM 和 SWIFT 端点。据观察,Stardust Chollima 使用恶意软件攻击 MacOS 系统,包括 RustBucket、KandyKorn、ObjCShellz 和 SpectralBlur。
活动
2024 年 1 月,行业研究人员报告了 Stardust Chollima 使用的后门 SpectralBlur。虽然 Spectral Blur 于 2023 年首次被发现,但据报道 Stardust Chollima 在 2023 年末和 2024 年初继续使用该后门。
里乔切特·千里马
Richochet Chollima 又名 APT37、Inky Squid、RedEyes、ScarCruft 和 Reaper,是一个与朝鲜有联系的威胁行为者组织。Richochet Chollima 自 2012 年以来一直活跃,通常以韩国实体为目标。不过,该组织也曾以日本、越南、中东和其他地区的实体为目标。目标行业包括化学、电子、制造、航空航天、汽车和医疗保健。Ricochet Chollima TTP 包括 Windows UAC 绕过、HTTPS 上的 C2、SoundWave、Zumkong、MBR 擦除器、RiceCurry、Flash 漏洞、隐写术、Freenki、RokRAT、Bluelight、CoralDeck、Final1stspy、HappyWork、Karae、NavRAT、PoorAim、ShutterSpeed、SlowDrift 和 WineRack。
活动
2024 年,人们观察到 Ricochet Chollima 使用 .LNK 文件传播 RokRAT。
2024 年第三季度,研究人员观察到 Ricochet Chollima 使用 VeilShell RAT 针对东南亚实体发动攻击。此活动是 Shrouded#Sleep 活动的一部分。
2024 年 10 月,行业研究人员报告 Ricochet Chollima 正在利用 Microsoft 零日浏览器漏洞 CVE-2024-38178。
名牌千里马
Famous Chollima,又名 Bad Clone 和 UNC5267,是一个与朝鲜有联系的 APT 组织。他们至少从 2018 年开始活跃,并采取一种不寻常的策略,即寻找远程自由职业或全职 (FTE) 工作,并非法将工资汇回朝鲜。与 Famous Chollima 相关的恶意软件包括 BeaverTail 和 InvisibleFerret。据报道,该组织已将 100 多家美国雇主作为目标。
活动
据报道,2024 年中,一名与 Famous Chollima 相关的个人从远程雇主那里窃取了专有数据,并要求对被盗数据支付赎金。
2024 年 8 月,据观察,著名的 Chollima 威胁行为者针对开发人员使用恶意 npm 包来部署 InvisibleFerret。
月光石雨夹雪
2024 年 5 月,微软发现了一个名为 Moonstone Sleet 的朝鲜关系入侵集。该组织之前被追踪为 Storm-1789。Moonstone Sleet 自 2023 年以来一直活跃,利用朝鲜威胁行为者常用的 TTP 以及他们自己独特的攻击方法。该组织似乎既受经济利益驱动,也受间谍活动目标驱动。
当 Moonstone Sleet 活动首次被发现时,他们使用的 TTP 与 Diamond Sleet/Lazarus Group 的 TTP 重叠。然而,该组织很快转向了自己独特的 TTP 集。Moonstone Sleet 的 TTP 包括建立虚假公司和工作机会来引诱潜在目标、利用合法工具的木马版本、利用恶意但功能齐全的游戏以及自定义勒索软件。
据观察,Moonstone Sleet 使用通过 LinkedIn、Telegram 和其他平台分发的木马化 PuTTY 版本来投放 SplitLoader 负载。此技术与 Diamond Sleet 之前使用的技术非常相似。据观察,该组织还利用包含恶意 npm 包的项目(通过 LinkedIn 和自由职业网站分发)来投放恶意负载。
活动
2024 年 1 月至 4 月,Moonstone Sleet 使用虚假公司 StarGlow Ventures 通过电子邮件通信瞄准教育和软件开发垂直领域的实体。
Moonstone Sleet 早在 2024 年 2 月就被发现使用恶意坦克游戏感染设备。这款功能齐全的游戏被称为 DeTankWar,并作为区块链相关项目推出。
Moonstone Sleet 的定制勒索软件 FakePenny 早在 2024 年 4 月就被发现在野外存在。
2024 年 5 月,微软报告了月光石雨夹雪。
使用 PolySwarm 跟踪朝鲜 Nexus 威胁行为者活动
PolySwarm 在 2024 年追踪了与以下朝鲜关系威胁行为者相关的恶意软件:
沉默的千里马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迷宫千里马
0b5db31e47b0dccfdec46e74c0e70c6a1684768dbacc9eacbb4fd2ef851994c7
3c8dbfcbb4fccbaf924f9a650a04cb4715f4a58d51ef49cc75bfcef0ac258a3e
bfd74b4a1b413fa785a49ca4a9c0594441a3e01983fc7f86125376fdbd4acf6b
5c907b722c53a5be256dc5f96b755bc9e0b032cc30973a52d984d4174bace456
f3b0da965a4050ab00fce727bb31e0f889a9c05d68d777a8068cfc15a71d3703
天鹅绒千里马
7bd723b5e4f7b3c645ac04e763dfc913060eaf6e136eecc4ee0653ad2056f3a0
8e45daace21f135b54c515dbd5cf6e0bd28ae2515b9d724ad2d01a4bf10f93bd
47d084e54d15d5d313f09f5b5fcdea0c9273dcddd9a564e154e222343f697822
星尘千里马
6f3e849ee0fe7a6453bd0408f0537fa894b17fc55bc9d1729ae035596f5c9220
月光石雨夹雪
F59035192098e44b86c4648a0de4078edbe80352260276f4755d15d354f5fc58
CB97ec024c04150ad419d1af2d1eb66b5c48ab5f345409d9d791db574981a3fb
39d7407e76080ec5d838c8ebca5182f3ac4a5f416ff7bda9cbc4efffd78b4ff5
Cafaa7bc3277711509dc0800ed53b82f645e86c195e85fbf34430bbc75c39c24
9863173e0a45318f776e36b1a8529380362af8f3e73a2b4875e30d31ad7bd3c1
09d152aa2b6261e3b0a1d1c19fa8032f215932186829cfcca954cc5e84a6cc38
感谢您抽出
.
.
来阅读本文
点它,分享点赞在看都在这里
