top of page

Stonefly:持續進行的北韓駭客組織勒索攻擊

作家相片: Symantec Threat HunterSymantec Threat Hunter

近來,隸屬於北韓政府的駭客組織 Stonefly(也稱為 Andariel、APT45、Silent Chollima 和 Onyx Sleet)不斷針對美國和其他國家的高價值目標進行網路攻擊,並以經濟利益為主要動機。即便在美國司法部於2024年7月起訴該組織成員後,Stonefly 的行動並未因此停止。根據 Symantec 的最新研究報告,該組織依然持續對美國的私人機構發動網絡攻擊,目標包括醫療機構、國防承包商和技術公司等,試圖通過勒索軟體獲取經濟利益。


💡關於Stonefly 組織 Stonefly 最早於2009年7月為人所知,當時該組織對多個南韓和美國的政府及金融網站發動了分散式阻斷服務(DDoS)攻擊。2011年,該組織再次出現,發動了更多的DDoS攻擊,同時揭示了其間諜活動的元素,因為它對特定目標使用了一款名為 Backdoor.Prioxer 的後門木馬。2013年3月,該組織與針對多家南韓銀行和廣播公司發動的 Jokra (Trojan.Jokra)磁碟抹除攻擊有關。同年6月,該組織參與了一系列針對南韓政府網站的 DDoS 攻擊 近年來,該組織的能力大幅增強,且自2019年起,Symantec 觀察到其焦點主要轉向對高價值目標的間諜活動。該組織似乎專精於針對持有機密或高敏感性信息或知識產權的機構進行攻擊。雖然其他北韓駭客組織以通過經濟攻擊為政府籌集外匯而聞名,但Stonefly 直到近年才參與財務驅動的攻擊。

Stonefly 的攻擊活動

Stonefly 近年的攻擊不再單純針對軍事或政府目標,而是專注於具有經濟價值的私人機構,這標誌著其攻擊策略的轉變。在近期的攻擊中,該組織利用了其自訂的惡意軟體工具,如 Backdoor.Preft 和 Nukebot,這些工具能夠滲透網路、竊取數據,並在受害者的系統中保持長期的隱秘控制。這些行動展示了該組織的技術能力與工具集的多樣性。


攻擊者在滲透成功後,通常會利用多種開源工具和已知的攻擊工具,如 Mimikatz 和 鍵盤側錄器,來進一步竊取目標系統中的憑證和敏感數據。這些憑證往往會被用於進行橫向移動,使駭客能夠控制更多關鍵系統,最終實施勒索攻擊。Stonefly 甚至使用如 Sliver、Chisel 這類跨平台的滲透測試框架,以強化其攻擊的隱蔽性和持續性。


此外,Stonefly 還採用了多種公開工具,如 PuTTY、Megatools 和 Snap2HTML,用以對數據進行壓縮、外傳並隱藏痕跡,這顯示其對滲透後的數據處理與外傳具有高度組織性。


攻擊的背景與目標

Stonefly 的網路攻擊活動自2009年開始活躍,最初以分散式阻斷服務(DDoS)攻擊為主,並逐漸轉向更加複雜的間諜活動和勒索行動。該組織自2019年起,將其重心轉向了針對全球擁有高敏感度資料的機構,如國防承包商、技術公司及醫療機構。其目標包括美國空軍基地、NASA 以及南韓、台灣等地的組織。

今年7月,美國司法部起訴了 Rim Jong Hyok,這位被認為是 Stonefly 主要成員的北韓國民,涉嫌參與多起針對美國醫療機構的勒索攻擊。據悉,Rim 通過這些攻擊非法獲取數百萬美元的贖金,並將其洗錢後轉至北韓政府。這些資金被懷疑進一步支持了北韓的其他網路攻擊行動。


儘管如此,起訴並未能阻止 Stonefly 的行動。即便在 2024 年 8 月起,該組織依然對美國三家不同的機構發動了多次攻擊,並試圖部署勒索軟體,顯示其無懼於外界的法律制裁和追捕。


Stonefly 工具集與攻擊技術

Stonefly 以其專屬的攻擊工具和技術聞名。這些工具包括:

  • Backdoor.Preft:多階段後門程式,能夠下載、上傳文件,執行命令並維持持久性。

  • Nukebot:後門程式,具備截取螢幕截圖和竊取敏感數據的功能。

  • Mimikatz:用來轉儲憑證,幫助攻擊者竊取系統中的使用者帳號資料。

  • 鍵盤側錄器:用來記錄目標機器的鍵盤輸入及剪貼簿數據,並將信息壓縮後發送給攻擊者。

  • Sliver、Chisel:開源的跨平台滲透工具,協助攻擊者進行數據傳輸與網絡入侵。

  • Megatools 和 PuTTY:用於數據傳輸和遠端控制。

  • Snap2HTML:協助攻擊者拍攝硬碟快照,獲取目標系統的完整檔案結構。

這些工具表明 Stonefly 的攻擊行動並非即興之舉,而是經過精心策劃與執行,駭客能夠迅速滲透並奪取系統控制權。


未來威脅與風險管理

Stonefly 雖然起源於對南韓和美國政府機構的攻擊,但如今已成為全球範圍內高價值機構的主要威脅之一。該組織的勒索軟體攻擊和間諜活動對全球的醫療機構、技術公司及國防單位構成了巨大風險,特別是當這些攻擊可能導致敏感數據的洩露和金錢損失。

針對 Stonefly 的攻擊行動,組織單位必須採取有效的安全措施,包括更新系統補丁、加強網路監控及定期審查內部安全流程。此外,教育員工認識攻擊手法,並實施嚴格的存取控制,亦有助於減少遭受攻擊的風險。


結論

Stonefly 作為北韓最具威脅性的駭客組織之一,展現了其不斷進化的攻擊手段與工具集。儘管受到美國政府的法律打擊,其攻擊活動並未停止,並且很可能會在未來繼續針對美國及全球其他高價值目標發動攻擊。全球企業與機構應該認真看待這一威脅,並採取適當的措施來保護其關鍵資產與敏感數據。


保護/緩解

欲了解最新的保護更新,請訪問Symantec保護公告

IOC

Description

f64dab23c50e3d131abcc1bdbb35ce9d68a34920dd77677730568c24a84411c5

Backdoor.Preft

a65cefb3c2ccdb50704b1af1008a1f8c7266aa85bd24aaf21f6eb1ddd5b79c81

Backdoor.Preft

12bf9fe2a68acb56eb01ca97388a1269b391f07831fd37a1371852ed5df44444

Backdoor.Preft

f0bc0f94ac743185e6d0c865a9e162f4ce2f306df13b2ea80df984160eb3363c

Backdoor.Preft

243ad5458706e5c836f8eb88a9f67e136f1fa76ed44868217dc995a8c7d07bf7

Backdoor.Preft

96118268f9ab475860c3ae3edf00d9ee944d6440fd60a1673f770d150bfb16d3

Backdoor.Preft

2b254ae6690c9e37fa7d249e8578ee27393e47db1913816b4982867584be713a

Backdoor.Preft

28149b1e55551948a629dcd2dacad32f6a197ed9324dc08b27ff00fa0bf0d909

Chisel

485465f38582377f9496a6c77262670a313d8c6e01fd29a5dbd919b9a40e68d5

Keylogger

d867aaa627389c377a29f01493e9dff517f30db8441bf2ccc8f80c48eaa0bf91

Keylogger

d71f478b1d5b8e489f5daafda99ad203de356095278c216a421694517826b79a

Keylogger

a7711b8314b256d279e104ea3809f0668d3615fba584ca887d9c495795d0a98e

Malicious file

42d52a78058954fcb85f538c86253214bacf475b4abecf3b426dad9d5b6543d6

Malicious file

5633691b680b46b8bd791a656b0bb9fe94e6354f389ab7bc6b96d007c9d41ffa

Malicious file

ee7926b30c734b49f373b88b3f0d73a761b832585ac235eda68cf9435c931269

Malicious file

4ef8f3be7615392e4fe5751c9647ede1c6be2d2723af9b0fab69b6e58543e6ca

Megatools

37b1c57120760acefb6ad9a99eb1a7dfa49d4ee6c4e6afcc09b385c24c5f0639

Mimikatz

511a75b2daca294db39d0e82e7af6161e67aab557b6b86bfea39ccbd2d7b40ae

Nukebot

94eef46095c231b1ee33cd63e063d8a2fc663e44832e45a294cf8d8cf9df31f8

Nukebot

7bec0b28eb52f7a2e218367c0fef91e83c9df8f0463d55f3a064a2d6ca77c8d0

Plink

3f880395c9d5820c4018daecf56711ce4ee719736590792f652ea29cbcbdb8f3

Plink

ee017325a743516155210f367272ac736bbfc8284b9613180744f26dda6502b0

Plink

89aa7b67e9476d0f91df71a2b92ebe21f63f218afb6446296403f34f91831d15

PuTTY

cdd079bcb01e0f1229194f1f0ff9b6261e24ee16f8f75ec83763a33561c2071a

Sliver

6de5219d913ed93389ae8e9e295695da1adc889c0352a9069f9921a0a2cb5ec6

Sliver

58d267dd80298c6d582ea7e45cf85a6e665d172d4122cc029cbcd427a33c2472

Sliver

e5d56cb7085ed8caf6c8269f4110265f9fb9cc7d8a91c498f3e2818fc978eee2

Sliver

1e2fad6c77410965ea2b3a5d36e8d980d839cc7a2b6f2e2d795d915e496ff398

Suspicious file

f128fabe601026ceb6d918d58061e3dd2f549366d14dcf6d44df4992bca3b53

Suspicious file

7ab3f076e70350f06ad19863fdd9e794648020f621c0b1bd20ad4d80f0745142

Suspicious file

e11e57d6d0944c2856828a287a868af96b47be32d4fe411f58dae4f0fe45ee2d

Suspicious file

f3f17480a3e5c86d1ed876243a06db9b4d7d6aea91e284fa555882e0f1360206

Suspicious file

88b3c100d4a3168b1807fe9d1c4cb9d772e294c1cdf29ff287bc451d37891d8c

Suspicious file

3b1fa5ffbdc79a395df274d558eed7cfebb3863d2cf4607c816a6e7d26007899

Suspicious file

ea2867c5de97e512b9780b6e73c075291259f5b24e95569ccbb05ed249d511a3

Suspicious file

35bbea3e077e63616e6785b667ddc67c3360be80b690fd0eea4e531b38777b0c

Suspicious file

2c70973b2b70e60f4187cb704bbc3c74da25a526828384b841b53778fb53fd38

Suspicious file

ac6f6c77e0c9082f85324dcde9aabbdd1c4dcd51b78e45d1d8ace4d1648213dd

Suspicious file

966319464e10b5a1ccc214a76a57ecf8afb322055f55154cf6e039c7373fd5e7

Suspicious file

5df907d0ff950194758a8ef32dabe78c31c7470c6e771c4f82e4c135a898f8fb

Suspicious file

003815b3b170437316614c66e63fc0750e459f47cb0caf2af9cf584fffee4916

Suspicious file

93b75bc724a4a85b93fb749b734381ef79ab54c2debf27907794c8fd632fa0f5

Suspicious file

09795d17d027c561e8e48f6089a8cf37e71c5985afbf7f51945fc359b4697a16

Suspicious file

c5a6a18ec53a8743853112f58dd1fcc73d0b2fc6e9cb73b2424e29d78b4504df

Suspicious file

fce7db964bef4b37f2f430c6ea99f439e5be06e047f6386222826df133b3a047

Snap2Html

75448c81d54acb16dd8f5c14e3d4713b3228858e07e437875fbea9b13f431437

Fast Reverse Proxy

216.120.201[.]112:443

Command-and-control server

51.81.168[.]157:443

Command-and-control server

217.195.153[.]209

IP address used by Plink

172.96.137[.]224

IP address used by Plink

144.208.127[.]115

IP address used by Plink

Certificate 1

thumbprint = "313cffaac3d1576ca3c1cee8f9a68a15a24ff418"issuer = "/CN=Baramundi Inc."subject = "/CN=Baramundi Inc."version = 3algorithm = "sha1WithRSA"algorithm_oid = "1.3.14.3.2.29"serial = "af:6d:f9:f9:69:86:58:80:49:1e:2b:ae:20:9f:0d:12"not_before = 1683852503not_after = 2208988799verified = 1digest_alg = "sha1"digest = "efe03d9be2cd148594e5fcb7272a40b85e33d2bf"file_digest = "efe03d9be2cd148594e5fcb7272a40b85e33d2bf"number_of_certificates = 1


Certificate 2

thumbprint = "10b8b939400a59d2cb79fff735796d484394f8dd"issuer = "/CN=VEXIS SOFTWARE LTD."subject = "/CN=VEXIS SOFTWARE LTD."version = 3algorithm = "sha1WithRSA"algorithm_oid = "1.3.14.3.2.29"serial = "bc:bf:05:4e:a8:b2:69:be:4c:c9:04:f0:8d:f9:eb:97"not_before = 1710348691not_after = 2208988799verified = 1digest_alg = "sha1"digest = "b9b5d20438cf54acf33ee5731dc283554b8a044c"file_digest = "b9b5d20438cf54acf33ee5731dc283554b8a044c"number_of_certificates = 1


原始文章來源 Symatnec Enterprise Blogs


Comments


WESTCON LOGO

Partner Success. It’s what we do.

02-8751-8026

Taiwan 台北
10560 台北市松山區光復北路112號3樓


3F., No. 112, Guangfu N. Rd.,

Songshan Dist.,Taipei City 105035, Taiwan (R.O.C.)

訂閱中文電子報

Thanks for subscribing!

Taiwan 台中
40865 台中市南屯區文心路一段218號23樓 2318 室

Rm. 2318, 23F.,No. 218, Sec. 1,Wenxin Rd.,
Nantun Dist.,Taichung City 40865, Taiwan (R.O.C.)

© 2024 Westcon Taiwan

Taiwan 高雄
81369 高雄市左營區博愛四路2號3F-2

3F.-2, No. 2, Bo'ai 4th Rd.,Zuoying Dist.,
Kaohsiung City 81369 , Taiwan (R.O.C.)

bottom of page