北朝鮮の新しいサイバー攻撃者「Moonstone Sleet」とは？Microsoftが特定

画像提供：マイナビニュース

Microsoftは5月28日(米国時間)、「Moonstone Sleet emerges as new North Korean threat actor with new bag of tricks｜Microsoft Security Blog」において、北朝鮮のサイバー攻撃者「Moonstone Sleet (旧名：Storm-1789)」を特定したと報じた。この攻撃者は他の北朝鮮の攻撃者が使用する実証済みの手法と、企業を標的とする独自の攻撃手法を組み合わせて使用するという。

○Moonstone Sleet」の正体

「Moonstone Sleet」は、Microsoftが北朝鮮と関係していると評価した悪意のある活動の背後にいる脅威アクターとされる。Microsoftが初めてMoonstone Sleetの活動を検出したとき、この脅威アクターは別の脅威アクター「Diamond Sleet」のマルウェアコードを広範囲に再利用し、トロイの木馬化されたソフトウェアを配布するなど、Diamond Sleetの手法を使用したという。

その後、Moonstone Sleetは独自のインフラストラクチャと攻撃手法に移行し、Diamond Sleetと同時に異なる手法で活動していることが観察されたことから、Diamond Sleetとは異なる独立した組織と特定された。

Microsoftによると、Moonstone Sleetの主な活動は経済的利益およびスパイ活動とされる。カスタムのランサムウェアの展開から、悪意のあるゲームの作成、偽会社の設立、情報技術者の利用まで多岐にわたるという。
○Moonstone Sleetの戦術、技術、手順(TTPs)

MicrosoftはこれまでにMoonstone Sleetのさまざまな戦術、技術、手順(TTPs: Tactics, Techniques, and Procedures)を観察したという。それら概要は次のとおり。
○トロイの木馬化されたPuTTY

2023年8月上旬、Microsoftはリモートログオンクライアント「PuTTY」のトロイの木馬バージョンをLinkedInやTelegramなどを介して配布していることを観察した。脅威アクターは多くの場合、このPuTTYとIPアドレス、パスワードを含む「url.txt」を圧縮したZIPファイルを配布する。