Новости MoonPeak: загадочный троян из КНДР наводит ужас на корпоративные сети

NewsMaker

I'm just a script
Премиум
13,579
20
8 Ноя 2022
Облачные сервисы стали ключевым звеном в распространении цифровой заразы.


u1k9y935czhk1z2l87i7zgryzditvz7h.jpg


Новый троян удалённого доступа ( RAT ) под названием MoonPeak был обнаружен в рамках кампании, проводимой кибергруппировкой, связанной с правительством Северной Кореей. Эксперты Cisco Talos Для просмотра ссылки Войди или Зарегистрируйся эту вредоносную кампанию хакерской группе UAT-5394, которая, по их данным, имеет тактические пересечения с известным актором национального уровня под кодовым именем Kimsuky.

Вредонос MoonPeak, находящийся в активной разработке, представляет собой вариант известного вредоносного ПО Xeno RAT, которое ранее использовалось в фишинговых атаках. Эти атаки были нацелены на получение полезной нагрузки с облачных сервисов, таких как Dropbox, Google Drive и Microsoft OneDrive, управляемых злоумышленниками. Среди ключевых функций Xeno RAT — возможность загрузки дополнительных плагинов, управления процессами и связи с сервером команд и управления ( C2 ).

Схожесть между двумя наборами вторжений указывает на то, что UAT-5394 может быть либо самим Kimsuky (или его подразделением), либо другой группировкой в киберподразделении Северной Кореи, использующей инструменты Kimsuky.

Ключевым элементом кампании является использование новой инфраструктуры, включая C2-серверы, сайты для размещения вредоносных программ и тестовые виртуальные машины. Эта инфраструктура была создана специально для поддержки новых версий MoonPeak.

Исследователи Talos отметили, что C2-серверы хранят вредоносные артефакты, которые используются для создания и поддержки новой инфраструктуры. В нескольких случаях наблюдались действия злоумышленников по доступу к существующим серверам для обновления полезной нагрузки и извлечения информации, собранной с помощью MoonPeak.

Сдвиг в использовании собственной инфраструктуры вместо легитимных облачных хранилищ подчёркивает изменение подхода хакеров. Однако цели текущей кампании пока неизвестны.

Важно отметить, что «постоянная эволюция MoonPeak тесно связана с созданием новой инфраструктуры злоумышленниками», и каждая новая версия вредоносного ПО включает новые методы сокрытия и изменения в механизме связи, чтобы предотвратить несанкционированные подключения.

Исследователи также подчеркнули, что хакеры обеспечили совместимость конкретных версий MoonPeak только с определенными вариантами C2-серверов. Быстрая разработка новых инструментов и инфраструктуры указывает на намерение группы быстро расширить кампанию и создать больше точек доступа и C2-серверов.
 
Источник новости
www.securitylab.ru

Похожие темы