マイクロソフトによると、Moonstone Sleet として追跡されている北朝鮮のハッキング・グループが、最近の限られた数の攻撃で Qilin ランサムウェアのペイロードを展開しているとのことです。
「2025年2月下旬以降、マイクロソフトは北朝鮮の国家活動家である Moonstone Sleet が限られた数の組織で Qilin ランサムウェアを展開するのを観測している」と同社の脅威インテリジェンス専門家は今週述べている。
「Moonstone Sleetは以前、攻撃において独自のカスタムランサムウェアを独占的に展開しており、これは彼らがRaaSオペレーターによって開発されたランサムウェアを展開する最初の事例となる。
以前はStorm-1789として追跡されていたこの脅威グループの活動は、当初はDiamond SleetやOnyx Sleetのような他の北朝鮮の攻撃者と重複していた。しかしその後、独自の手口とカスタム・ツール、攻撃インフラに切り替えている。
マイクロソフトによると、Moonstone Sleetのハッカーは、トロイの木馬化されたソフトウェア(PuTTYなど)、カスタムマルウェアローダー、悪意のあるゲームやnpmパッケージ、LinkedIn、さまざまなフリーランスネットワーク、Telegram、または電子メールを介して潜在的な被害者と対話するために設定された偽のソフトウェア開発会社(C.C. Waterfall、StarGlow Venturesなど)を使用して、金融とサイバーレスポンスの両方をターゲットにしています。
2022年8月に「Agenda」という名前で表面化して以来、Qilinランサムウェア一味はダークウェブのリークサイトで300人以上の被害者を出している。しかし、Ransomware-as-a-Service(RaaS)の活動は、2023年末に攻撃がピークに達するまでほとんど活発ではなかった。2023年12月、Qilinの関連会社は、VMware ESXi仮想マシンをターゲットに、最も先進的なLinux暗号化ソフトの1つを展開し始めた。
これまでのところ、Qilinの身代金要求は、被害者の規模に応じて、2万5000ドルから数百万ドルに及んでいる。Qilinは出現以来、自動車大手のYangfeng、アメリカの新聞社Lee Enterprises、オーストラリアのCourt Services Victoria、病理学サービス・プロバイダーのSynnovisなど、310以上の被害者を出している。
後者では、ロンドンの複数の主要なNHS病院に影響を与える障害が発生し、数百件の手術や予約のキャンセルを余儀なくされた。
2024年5月、マイクロソフトはまた、Moonstone SleetをカスタムFakePennyランサムウェアの亜種と関連付けました。FakePennyランサムウェア攻撃が成功した後、北朝鮮のハッカーがBTCで660万ドルの身代金を要求しているのが観察された。
Moonstone Sleetは、近年ランサムウェア攻撃に関連する北朝鮮の支援を受けた最初の脅威グループではない。2017年5月、米国と英国政府は、世界中で数十万台のコンピュータをダウンさせたランサムウェア「WannaCry」の大流行について、Lazarus Groupを非難した。
数年後の2022年7月、マイクロソフトとFBIは、医療機関を標的としたHoly Ghostランサムウェア 作戦と Mauiランサムウェア攻撃に北朝鮮のハッカーを関連付けた。
Comments