Az észak-koreai csoport együttműködik a Play Ransomware-rel
A Palo Alto Unit 42 azonosította a Jumpy Pisces nevű, a Koreai Néphadsereg Felderítő Főhivatalával kapcsolatban álló, észak-koreai államilag támogatott fenyegető csoportot, mint a közelmúltban történt ransomware incidens egyik kulcsszereplőjét. A Unit 42 vizsgálatai szerint a csoport taktikája valószínűleg megváltozott. Mérsékelt bizonyossággal úgy vélik, hogy a Jumpy Pisces, vagy a csoport egy frakciója most a Play ransomware csoporttal (Fiddling Scorpius) működik együtt. Ez a változás az első olyan megfigyelt esetet jelzi, amikor a csoport meglévő ransomware infrastruktúrát használ, vagy a Play ransomware csoport kezdeti hozzáférési brókerként (IAB) vagy társszervezeteként működik. A taktikáikban, technikáikban és eljárásaikban (TTP) bekövetkezett változás a szélesebb körű ransomware fenyegetésekben való mélyebb részvételüket jelzi. A Jumpy Pisces, más néven Andariel és Onyx Sleet, korábbam már részt vett kiberkémkedésben, pénzügyi bűncselekményekben és ransomware támadásokban. A csoport ellen vádat emelt az amerikai igazságügyi minisztérium a Maui nevű, egyedi fejlesztésű kártékony program elterjesztése miatt.
2024. szeptember elején a Unit 42 incidenskezelési szolgáltatásokat nyújtott egy Play zsarolóprogram által érintett ügyfélnek. A vizsgálatok során nagy bizonyossággal megállapították, hogy az észak-koreai állam által támogatott Jumpy Pisces kiberszereplő 2024 májusában egy kompromittált felhasználói fiókon keresztül szerzett kezdeti hozzáférést. A Jumpy Pisces oldalirányú mozgást hajtott végre, és a nyílt forráskódú Sliver eszköz és az egyedi kártevőjük, a DTrack, más hosztokra történő terjesztésével tartotta fenn a perzisztenciát a Server Message Block (SMB) protokollon keresztül. Ezek a távoli eszközök szeptember elejéig továbbra is kommunikáltak a C2 szerverükkel. Ez vezetett végül a Play ransomware telepítéséhez. A fenyegető szereplők 2024 májusa és szeptembere között férhettek hozzá a hálózathoz.
