朝鲜政府支持的威胁组织Jumpy Pisces与Play勒索软件组织合作实施网络攻击。了解所使用的工具和技术、攻击的影响以及如何保护您的组织免受类似威胁。

Palo Alto Networks Unit 42最近发起的一起事件响应案例揭示了一个令人担忧的进展——一个朝鲜政府支持的组织和一个以经济为目的的勒索软件团伙之间的合作。

Jumpy Pisces又名Onyx Sleet和Andariel（又名“和平卫士”APT，是臭名昭著的HBO数据泄露事件的幕后黑手），曾进行过网络间谍、金融犯罪和部署Maui等定制勒索软件。Unit 42的调查显示Jumpy Pisces的策略发生了变化，表明他们可能越来越多地参与勒索软件攻击。

该事件涉及使用Play勒索软件的攻击，该威胁于2022年中期首次发现。虽然Play背后的组织Fiddling Scorpius被认为是在勒索软件即服务(RaaS)模式下运作的，但他们在其泄密网站上否认了这一点。

Unit 42的调查揭示了一系列事件，最终导致Play勒索软件的部署。2024年5月，Jumpy Pisces使用被盗用户账户获得了初始访问权限。2024年5月至9月期间，他们利用开源Sliver和自定义DTrack恶意软件等工具横向移动并在整个网络中保持持久性。

2024年9月初，一名身份不明的攻击者通过同一个被盗账户访问了网络，很可能是在Jumpy Pisces的基础上进行的。该攻击者进行了勒索软件前的活动，包括凭证收集和EDR传感器移除，然后在当月晚些时候部署了Play勒索软件。

开源Sliver C2 Framework的定制版本使他们能够维持持久的命令和控制(C2)通信，从而允许远程命令执行。定制的DTrack恶意软件充当信息窃取者，从受影响的系统收集敏感信息并将其压缩成伪装的GIF文件以避免被发现。

根据Palo Alto Networks Unit 42的报告，攻击者使用PowerShell脚本执行命令、传输文件和与系统交互，而Mimikatz通过从内存中提取纯文本密码来促进凭证转储，以获取额外的帐户访问权限。

研究人员还注意到，PsExec是一种命令行工具，允许在远程系统上执行进程，支持横向移动和权限提升。此外，TokenPlayer是一种用于操纵和滥用Windows访问令牌的工具，它被用来窃取令牌，使攻击者能够冒充特权用户。

Unit 42认为Jumpy Pisces在这次攻击中与Play勒索软件组织/Fiddling Scorpius合作，因为Jumpy Pisces和Play勒索软件攻击者使用了同一个被盗账户。Jumpy Pisces在勒索软件部署前就停止了活动，而TokenPlayer和PsExec在Play勒索软件事件中很常见。

目前尚不清楚Jumpy Pisces是否是Play勒索软件的官方附属机构，还是仅仅作为初始访问代理(IAB)出售网络访问权。然而，这是首次有记录的此类合作案例，这引发了人们对朝鲜团体可能更多地参与勒索软件活动的可能性的担忧，因为这对全球企业和组织构成了更大的威胁。

KnowBe4的安全意识倡导者Erich Kron指出，朝鲜最近参与勒索软件表明，出于经济动机，朝鲜采取了战略合作。尽管朝鲜攻击者擅长网络访问，但他们与一个成熟组织的合作是有益的，因为他们对勒索软件操作还不熟悉。Kron强调，鉴于勒索软件严重依赖社会工程学，组织需要专注于打击电子邮件网络钓鱼。