مجموعة كورية شمالية تتعاون مع Play Ransomware في هجوم إلكتروني كبير
لقد تورطت الجهات الفاعلة في مجال التهديد في كوريا الشمالية في حادثة وقعت مؤخرًا والتي نشرت عائلة معروفة من برامج الفدية تسمى Play، مما يؤكد دوافعهم المالية.
يُعزى هذا النشاط، الذي تمت ملاحظته بين مايو وسبتمبر 2024، إلى جهة تهديد تم تتبعها باسم ثاب الحوت، والتي تُعرف أيضًا باسم Andariel، وAPT45، وDarkSeoul، وNickel Hyatt، وOnyx Sleet (بلوتونيوم سابقًا)، وOperation Troy، وSilent Chollima، وStonefly.
“نعتقد بثقة معتدلة أن Jumpy Pisces، أو فصيل من المجموعة، يتعاون الآن مع مجموعة Play Ransomware،” وحدة Palo Alto Networks 42 قال في تقرير جديد نشر اليوم.
“هذا الحادث مهم لأنه يمثل أول تعاون مسجل بين المجموعة التي ترعاها الدولة في كوريا الشمالية Jumpy Pisces وشبكة برامج الفدية السرية.”
أندارييل، نشط منذ عام 2009 على الأقل، وهو تابع لمكتب الاستطلاع العام في كوريا الشمالية (RGB). وقد لوحظ سابقًا نشر سلالتين أخريين من برامج الفدية المعروفة باسم SHATTEREDGLASS وMaui.
في وقت سابق من هذا الشهر، أشارت شركة Symantec، وهي جزء من Broadcom، إلى أن ثلاث منظمات مختلفة في الولايات المتحدة تم استهدافها من قبل طاقم القرصنة الذي ترعاه الدولة في أغسطس 2024 كجزء من هجوم محتمل بدوافع مالية، على الرغم من عدم نشر برامج الفدية على شبكاتهم.
من ناحية أخرى، تعد Play عبارة عن عملية فدية يُعتقد أنها أثرت على ما يقرب من 300 مؤسسة اعتبارًا من أكتوبر 2023. وتُعرف أيضًا باسم Balloonfly وFiddling Scorpius وPlayCrypt.
في حين كشفت شركة الأمن السيبراني Adlumin في أواخر العام الماضي أن العملية ربما انتقلت إلى نموذج برامج الفدية كخدمة (RaaS)، أعلنت الجهات الفاعلة في مجال التهديد وراء Play منذ ذلك الحين على موقع تسرب بيانات الويب المظلم الخاص بها أن الأمر ليس كذلك.
في الحادثة التي حققت فيها الوحدة 42، يُعتقد أن Andariel حصل على وصول أولي عبر حساب مستخدم مخترق في مايو 2024، تلا ذلك القيام بأنشطة الحركة الجانبية والمثابرة باستخدام إطار القيادة والتحكم (C2) Sliver وباب خلفي مخصص يسمى Dtrack. (ويعرف أيضًا باسم Valefor وPreft).
وقالت الوحدة 42: “واصلت هذه الأدوات البعيدة الاتصال بخادم القيادة والتحكم (C2) الخاص بها حتى أوائل سبتمبر”. “أدى هذا في النهاية إلى نشر برنامج Play Ransomware.”
سبق نشر برنامج Play Ransomware جهة تهديد مجهولة الهوية تتسلل إلى الشبكة باستخدام نفس حساب المستخدم المخترق، وبعد ذلك تمت ملاحظتهم وهم يقومون بجمع بيانات الاعتماد، وتصعيد الامتيازات، وإلغاء تثبيت أجهزة استشعار الكشف عن نقطة النهاية والاستجابة لها (EDR)، وجميع السمات المميزة لبرامج الفدية السابقة. – أنشطة برامج الفدية.
تم أيضًا استخدام برنامج ثنائي مصاب بفيروس طروادة، كجزء من الهجوم، قادر على جمع سجل متصفح الويب، ومعلومات الملء التلقائي، وتفاصيل بطاقة الائتمان لمتصفح Google Chrome، وMicrosoft Edge، وBrave.
استخدام حساب المستخدم المخترق من قبل كل من Andariel وPlay Asia، والاتصال بين مجموعتي التطفل ينبع من حقيقة أن الاتصال مع خادم Sliver C2 (172.96.137)[.]224) ظلت مستمرة حتى اليوم السابق لنشر برامج الفدية. لقد كان عنوان C2 IP غير متصل بالإنترنت منذ يوم النشر.
“لا يزال من غير الواضح ما إذا كانت Jumpy Pisces قد أصبحت رسميًا شركة تابعة لبرنامج Play Ransomware أو ما إذا كانت بمثابة IAB [initial access broker] “من خلال بيع الوصول إلى الشبكة لممثلي برامج الفدية Play،” خلصت الوحدة 42. “إذا لم توفر Play Ransomware نظامًا بيئيًا RaaS كما تدعي، فربما يكون Jumpy Pisces قد عمل فقط كمكتب IAB.”
إرسال التعليق