详细内容或原文请订阅后点击阅览
朝鲜国家威胁行为者使用 Play 勒索软件
无
来源:Packet Storm _恶意软件帕洛阿尔托网络42单位周三报道,一位北朝鲜国家赞助的威胁演员被怀疑与9月的网络塔克舞会合作,在9月的网络攻击中合作。
Palo Alto Networks 42周三报道。由第42单元跟踪的小组为跳跃双鱼座,也称为Andariel,Onyx Sleet和Stonefly,在2024年5月通过折衷的帐户访问了初始访问,然后部署了开源和自定义工具,以进行横向运动和持久性。
到9月,Jumpy Pisces建立的最初访问被利用用于进行预先弹药软件活动,并最终部署Play勒索软件有效载荷。 42单元以“温和的信心”相信这表明双鱼座和游戏之间的合作。
“此更改标志着使用现有勒索软件基础结构的第一个观察到的实例,有可能充当初始访问经纪人(IAB)或Play lansomware Group的关联公司,”第42单位研究人员写道。 “他们的战术,技术和程序(TTP)的这种转变更深入地参与了更广泛的勒索软件威胁格局。”
与朝鲜朝鲜人民军侦察局有联系的跳跃双鱼座过去曾使用过自己的定制勒索软件。 7月,美国司法部因涉嫌使用自定义毛伊岛勒索软件来针对美国医疗保健组织的角色而起诉该组织的一名成员。
起诉该组成员传统上与网络增长有关,但Jumpy Pisces最近一直在转变为明显的经济动机攻击,可能用于资助进一步的网络攻击或其他朝鲜政府和其他军事活动。
财务动机攻击朝鲜攻击者如何为Play Ransomware铺平道路
第42单元在9月初对其一名客户的攻击做出了回应,并将威胁行为者的活动追溯到5月下旬通过折衷的帐户回到初始访问。