Des acteurs malveillants liés à la Corée du Nord ont été impliqués dans un incident récent impliquant une famille de rançongiciels connue sous le nom de Play, soulignant leurs motivations financières.
L'activité, observée entre mai et septembre 2024, a été attribuée à un groupe de menaces suivi sous le nom de Jumpy Pisces, également connu sous les noms d’Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anciennement Plutonium), Operation Troy, Silent Chollima, et Stonefly.
« Nous pensons avec une confiance modérée que Jumpy Pisces, ou une faction de ce groupe, collabore désormais avec le groupe de rançongiciels Play », a déclaré Palo Alto Networks Unit 42 dans un nouveau rapport publié aujourd'hui.
« Cet incident est significatif car il marque la première collaboration enregistrée entre le groupe d'État nord-coréen Jumpy Pisces et un réseau de rançongiciels souterrain. »
Cybercriminalité
Andariel, actif depuis au moins 2009, est affilié au Bureau général de reconnaissance (RGB) de la Corée du Nord. Il a été précédemment observé déployant deux autres souches de rançongiciels connues sous le nom de SHATTEREDGLASS et Maui.
Plus tôt ce mois-ci, Symantec, filiale de Broadcom, a noté que trois organisations différentes aux États-Unis avaient été ciblées par ce groupe de hackers parrainé par un État en août 2024 dans le cadre d'une attaque probablement motivée financièrement, bien qu’aucun rançongiciel n'ait été déployé sur leurs réseaux.
De son côté, Play est une opération de rançongiciels qui aurait touché environ 300 organisations en octobre 2023. Elle est également connue sous les noms de Balloonfly, Fiddling Scorpius et PlayCrypt.
Rançongiciel Play
Alors que la société de cybersécurité Adlumin a révélé l'année dernière que l'opération pourrait être passée à un modèle de rançongiciel en tant que service (RaaS), les acteurs derrière Play ont depuis annoncé sur leur site de fuite de données du dark web que ce n'était pas le cas.
Dans l'incident enquêté par Unit 42, on pense qu'Andariel a obtenu un accès initial via un compte utilisateur compromis en mai 2024, suivi de déplacements latéraux et d'activités de persistance en utilisant le cadre de commande et de contrôle (C2) Sliver et une porte dérobée personnalisée appelée Dtrack (alias Valefor et Preft).
« Ces outils distants ont continué à communiquer avec leur serveur de commande et de contrôle (C2) jusqu'au début de septembre », a déclaré Unit 42. « Cela a finalement conduit au déploiement du rançongiciel Play. »
Le déploiement du rançongiciel Play a été précédé par un acteur de menace non identifié infiltrant le réseau en utilisant le même compte utilisateur compromis, après quoi ils ont été observés en train de récolter des identifiants, d'escalader les privilèges et de désinstaller les capteurs de détection et de réponse des points de terminaison (EDR), autant de signes avant-coureurs d'activités pré-rançongiciels.
Un autre outil utilisé dans l'attaque était un binaire trojanisé capable de récupérer l'historique du navigateur web, les informations de remplissage automatique et les détails de carte de crédit pour Google Chrome, Microsoft Edge et Brave.
Cybercriminalité
Outre l'utilisation du compte utilisateur compromis par Andariel et Play, le lien entre les deux ensembles d'intrusions découle du fait que la communication avec le serveur C2 Sliver (172.96.137[.]224) est restée active jusqu'au jour précédant le déploiement du rançongiciel. L'adresse IP C2 est hors ligne depuis le jour où le déploiement a eu lieu.
Unit 42 a indiqué à The Hacker News que cet incident de rançongiciel présente de nombreux chevauchements dans les outils, les infrastructures, la sélection des cibles et le calendrier avec les attaques divulguées par Symantec. Il est à noter que l'adresse IP Sliver C2, qui a été signalée par Symantec, était utilisée conjointement avec l'utilitaire de connexion en ligne de commande Plink.
« Nous avons observé que l'acteur de menace utilisait principalement l'adresse IP 172.96.137[.]224 pour les activités C2 Sliver », a déclaré Navin Thomas, chercheur en menace chez Unit 42.
« Cela dit, cette adresse IP a été utilisée à diverses fins, avec plusieurs ports ouverts servant des fonctions différentes, y compris Sliver, un service web pour la distribution d'outils et des services SSH. Cependant, nous n'avons pas pu vérifier l'utilisation de Plink depuis cette IP dans notre enquête. »
Indépendamment de la nature exacte de la collaboration entre les deux groupes de menace, ce développement montre que les acteurs de menace nord-coréens pourraient planifier des attaques de rançongiciels plus vastes à l'avenir pour contourner les sanctions et générer des revenus pour la nation en difficulté financière.
« Il reste flou si Jumpy Pisces est devenu officiellement affilié au rançongiciel Play ou s'ils ont agi en tant que courtier d'accès initial en vendant l'accès au réseau aux acteurs de Play », a conclu Unit 42. « Si Play ransomware n'offre pas un écosystème RaaS comme il le prétend, Jumpy Pisces pourrait n'avoir agi qu'en tant que courtier d'accès initial (IAB). »
Sources:
https://thehackernews.com/2024/10/north-...-with.html
https://www.checkpoint.com/cyber-hub/thr...rotection/
https://www.justice.gov/opa/pr/north-kor...-hospitals
L'activité, observée entre mai et septembre 2024, a été attribuée à un groupe de menaces suivi sous le nom de Jumpy Pisces, également connu sous les noms d’Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (anciennement Plutonium), Operation Troy, Silent Chollima, et Stonefly.
« Nous pensons avec une confiance modérée que Jumpy Pisces, ou une faction de ce groupe, collabore désormais avec le groupe de rançongiciels Play », a déclaré Palo Alto Networks Unit 42 dans un nouveau rapport publié aujourd'hui.
« Cet incident est significatif car il marque la première collaboration enregistrée entre le groupe d'État nord-coréen Jumpy Pisces et un réseau de rançongiciels souterrain. »
Cybercriminalité
Andariel, actif depuis au moins 2009, est affilié au Bureau général de reconnaissance (RGB) de la Corée du Nord. Il a été précédemment observé déployant deux autres souches de rançongiciels connues sous le nom de SHATTEREDGLASS et Maui.
Plus tôt ce mois-ci, Symantec, filiale de Broadcom, a noté que trois organisations différentes aux États-Unis avaient été ciblées par ce groupe de hackers parrainé par un État en août 2024 dans le cadre d'une attaque probablement motivée financièrement, bien qu’aucun rançongiciel n'ait été déployé sur leurs réseaux.
De son côté, Play est une opération de rançongiciels qui aurait touché environ 300 organisations en octobre 2023. Elle est également connue sous les noms de Balloonfly, Fiddling Scorpius et PlayCrypt.
Rançongiciel Play
Alors que la société de cybersécurité Adlumin a révélé l'année dernière que l'opération pourrait être passée à un modèle de rançongiciel en tant que service (RaaS), les acteurs derrière Play ont depuis annoncé sur leur site de fuite de données du dark web que ce n'était pas le cas.
Dans l'incident enquêté par Unit 42, on pense qu'Andariel a obtenu un accès initial via un compte utilisateur compromis en mai 2024, suivi de déplacements latéraux et d'activités de persistance en utilisant le cadre de commande et de contrôle (C2) Sliver et une porte dérobée personnalisée appelée Dtrack (alias Valefor et Preft).
« Ces outils distants ont continué à communiquer avec leur serveur de commande et de contrôle (C2) jusqu'au début de septembre », a déclaré Unit 42. « Cela a finalement conduit au déploiement du rançongiciel Play. »
Le déploiement du rançongiciel Play a été précédé par un acteur de menace non identifié infiltrant le réseau en utilisant le même compte utilisateur compromis, après quoi ils ont été observés en train de récolter des identifiants, d'escalader les privilèges et de désinstaller les capteurs de détection et de réponse des points de terminaison (EDR), autant de signes avant-coureurs d'activités pré-rançongiciels.
Un autre outil utilisé dans l'attaque était un binaire trojanisé capable de récupérer l'historique du navigateur web, les informations de remplissage automatique et les détails de carte de crédit pour Google Chrome, Microsoft Edge et Brave.
Cybercriminalité
Outre l'utilisation du compte utilisateur compromis par Andariel et Play, le lien entre les deux ensembles d'intrusions découle du fait que la communication avec le serveur C2 Sliver (172.96.137[.]224) est restée active jusqu'au jour précédant le déploiement du rançongiciel. L'adresse IP C2 est hors ligne depuis le jour où le déploiement a eu lieu.
Unit 42 a indiqué à The Hacker News que cet incident de rançongiciel présente de nombreux chevauchements dans les outils, les infrastructures, la sélection des cibles et le calendrier avec les attaques divulguées par Symantec. Il est à noter que l'adresse IP Sliver C2, qui a été signalée par Symantec, était utilisée conjointement avec l'utilitaire de connexion en ligne de commande Plink.
« Nous avons observé que l'acteur de menace utilisait principalement l'adresse IP 172.96.137[.]224 pour les activités C2 Sliver », a déclaré Navin Thomas, chercheur en menace chez Unit 42.
« Cela dit, cette adresse IP a été utilisée à diverses fins, avec plusieurs ports ouverts servant des fonctions différentes, y compris Sliver, un service web pour la distribution d'outils et des services SSH. Cependant, nous n'avons pas pu vérifier l'utilisation de Plink depuis cette IP dans notre enquête. »
Indépendamment de la nature exacte de la collaboration entre les deux groupes de menace, ce développement montre que les acteurs de menace nord-coréens pourraient planifier des attaques de rançongiciels plus vastes à l'avenir pour contourner les sanctions et générer des revenus pour la nation en difficulté financière.
« Il reste flou si Jumpy Pisces est devenu officiellement affilié au rançongiciel Play ou s'ils ont agi en tant que courtier d'accès initial en vendant l'accès au réseau aux acteurs de Play », a conclu Unit 42. « Si Play ransomware n'offre pas un écosystème RaaS comme il le prétend, Jumpy Pisces pourrait n'avoir agi qu'en tant que courtier d'accès initial (IAB). »
Sources:
https://thehackernews.com/2024/10/north-...-with.html
https://www.checkpoint.com/cyber-hub/thr...rotection/
https://www.justice.gov/opa/pr/north-kor...-hospitals
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
