Okt 30, 2024Ravie LakshmananRansomware / Threat Intelligence Tishio nchini Korea Kaskazini wamehusishwa katika tukio la hivi majuzi ambalo lilisambaza familia inayojulikana ya kikombozi inayoitwa Play, ikisisitiza ari yao ya kifedha. Shughuli hiyo, iliyozingatiwa kati ya Mei na Septemba 2024, imehusishwa na mwigizaji tishio aliyefuatiliwa kama Jumpy Pisces, ambaye pia anajulikana kama Andariel, APT45, DarkSeoul, Nickel Hyatt, Onyx Sleet (zamani Plutonium), Operation Troy, Silent Chollima, na Stonefly. “Tunaamini kwa ujasiri wa wastani kwamba Jumpy Pisces, au kikundi cha kikundi, sasa kinashirikiana na kikundi cha ukombozi cha Play,” Palo Alto Networks Unit 42 ilisema katika ripoti mpya iliyochapishwa leo. “Tukio hili ni muhimu kwa sababu linaashiria ushirikiano wa kwanza uliorekodiwa kati ya kundi la Jumpy Pisces la Korea Kaskazini linalofadhiliwa na serikali na mtandao wa chinichini wa ukombozi.” Andariel, anayefanya kazi tangu angalau 2009, anashirikiana na Ofisi ya Mkuu wa Upelelezi ya Korea Kaskazini (RGB). Hapo awali imeonekana kupeleka aina nyingine mbili za programu ya ukombozi inayojulikana kama SHATTEREDGLASS na Maui. Mapema mwezi huu, Symantec, sehemu ya Broadcom, ilibainisha kuwa mashirika matatu tofauti nchini Marekani yalilengwa na kikundi cha wadukuzi kilichofadhiliwa na serikali mnamo Agosti 2024 kama sehemu ya shambulio linalowezekana la kifedha, ingawa hakuna programu ya kukomboa iliyotumwa kwenye mitandao yao. Play, kwa upande mwingine, ni oparesheni ya ukombozi ambayo inaaminika kuwa imeathiri takriban mashirika 300 kufikia Oktoba 2023. Pia inajulikana kama Balloonfly, Fiddling Scorpius na PlayCrypt. Wakati kampuni ya usalama wa mtandao ya Adlumin ilifichua mwishoni mwa mwaka jana kwamba operesheni hiyo inaweza kuwa imebadilika hadi kwa mtindo wa ransomware-as-a-service (RaaS), watendaji tishio nyuma ya Play wametangaza kwenye tovuti yao ya uvujaji wa data ya mtandao kwamba sivyo. Katika tukio lililochunguzwa na Kitengo cha 42, Andariel anaaminika alipata ufikiaji wa awali kupitia akaunti ya mtumiaji iliyoathiriwa mnamo Mei 2024, ikifuatiwa na kufanya shughuli za harakati na kuendelea kwa kutumia mfumo wa Sliver command-and-control (C2) na mlango wa nyuma unaoitwa Dtrack. (aka Valefor na Preft). “Zana hizi za mbali ziliendelea kuwasiliana na seva yao ya amri na udhibiti (C2) hadi mapema Septemba,” Kitengo cha 42 kilisema. “Hatimaye hii ilisababisha kutumwa kwa Play ransomware.” Usambazaji wa programu ya ukombozi wa Play ulitanguliwa na mwigizaji tishio ambaye hajatambuliwa aliyejipenyeza kwenye mtandao kwa kutumia akaunti ile ile ya mtumiaji iliyoathiriwa, baada ya hapo walionekana wakifanya uvunaji wa sifa, upanuzi wa fursa, na uondoaji wa vitambuzi vya kutambua na kujibu (EDR), alama zote za awali. -shughuli za ransomware. Iliyotumika pia kama sehemu ya shambulio hilo ilikuwa mfumo wa binary uliohamishwa ambao unaweza kukusanya historia ya kivinjari cha wavuti, maelezo ya kujaza kiotomatiki na maelezo ya kadi ya mkopo kwa Google Chrome, Microsoft Edge na Brave. Matumizi ya akaunti ya mtumiaji iliyoathiriwa na Andariel na Play Asia, muunganisho kati ya seti mbili za uvamizi unatokana na ukweli kwamba mawasiliano na seva ya Sliver C2 (172.96.137)[.]224) iliendelea hadi siku moja kabla ya kutumwa kwa programu ya ukombozi. Anwani ya IP ya C2 imekuwa nje ya mtandao tangu siku ambayo utumaji ulifanyika. “Bado haijulikani ikiwa Jumpy Pisces imekuwa mshirika rasmi wa Play ransomware au ikiwa walifanya kama IAB. [initial access broker] kwa kuuza ufikiaji wa mtandao kwa waigizaji wa ukombozi wa Play,” Kitengo cha 42 kilihitimisha. “Ikiwa Play ransomware haitoi mfumo ikolojia wa RaaS kama inavyodai, Jumpy Pisces inaweza kuwa ilifanya kazi kama IAB pekee.” Umepata makala haya ya kufurahisha? Tufuate kwenye Twitter  na LinkedIn ili kusoma maudhui ya kipekee zaidi tunayochapisha.