微软将其追踪的朝鲜黑客组织Moonstone Sleet与FakePenny勒索软件攻击联系起来，这些攻击导致了数百万美元的赎金要求。

虽然该威胁组织的策略、技术和程序(TTP)与其他朝鲜攻击者大部分重叠，但它也慢慢采用了新的攻击方法，以及自己的定制基础设施和工具。

Moonstone Sleet之前被追踪为Storm-17，据观察，它使用木马软件（例如PuTTY）、恶意游戏和npm包、自定义恶意软件加载器和虚假软件开发公司（例如StarGlow Ventures和CC Waterfall）攻击金融和网络间谍目标，这些公司设立的目的是在LinkedIn、Telegram、自由职业网络或通过电子邮件与潜在受害者进行互动。

微软表示：“当微软首次检测到Moonstone Sleet活动时，该威胁参与者表现出与Diamond Sleet的强烈重叠，大量重复使用已知Diamond Sleet恶意软件（如Comebacker）的代码，并使用成熟的Diamond Sleet技术来访问组织，例如使用社交媒体来传播木马软件。 ”

“然而，Moonstone Sleet很快转向了其定制的基础设施和攻击。随后，微软观察到Moonstone Sleet和Diamond Sleet同时进行操作，而Diamond Sleet仍在使用其已知的、成熟的技术。”

在入侵受害者网络两个月后，威胁行为者于今年4月首次部署了新的定制FakePenny勒索软件变种。

然而，与朝鲜国家黑客协调的先前勒索软件攻击（受害者被要求支付10万美元）不同，Moonstone Sleet攻击者要求的赎金为660万美元BTC。

微软对此次攻击的评估得出结论，Moonstone Sleet部署勒索软件的主要动机是获取经济利益。该组织之前参与网络间谍攻击的经历表明，他们的攻击重点是获取收入和收集情报。

自首次被发现以来，该组织已将目标锁定多个垂直行业，包括软件和信息技术、教育和国防工业基础领域的个人和组织。

Moonstone Sleet并不是近年来第一个涉嫌发动勒索软件攻击的朝鲜黑客组织。例如，美国和英国政府就曾正式将2017年5月发生的WannaCry勒索软件爆发归咎于Lazarus Group，该病毒摧毁了全球数十万台计算机。

多年后，在2022年7月，微软和FBI还分别将朝鲜黑客与针对医疗保健机构的Holy Ghost勒索软件行动和Maui勒索软件攻击联系起来。

微软补充道：“Moonstone Sleet的多样化战术不仅因为其有效性而引人注目，还因为它们是多年来为满足朝鲜网络目标而与其他几个朝鲜威胁行为者的战术不断演变而来的。”

“此外，Moonstone Sleet在其剧本中添加勒索软件，就像另一个朝鲜威胁行为者Onyx Sleet一样，可能表明它正在扩大其能力以实现破坏性行动。”