23.08.2024 | MoonPeak: загадочный троян из КНДР наводит ужас на корпоративные сети |
Новый троян удалённого доступа ( RAT ) под названием MoonPeak был обнаружен в рамках кампании, проводимой кибергруппировкой, связанной с правительством Северной Кореей. Эксперты Cisco Talos приписали эту вредоносную кампанию хакерской группе UAT-5394, которая, по их данным, имеет тактические пересечения с известным актором национального уровня под кодовым именем Kimsuky. Вредонос MoonPeak, находящийся в активной разработке, представляет собой вариант известного вредоносного ПО Xeno RAT, которое ранее использовалось в фишинговых атаках. Эти атаки были нацелены на получение полезной нагрузки с облачных сервисов, таких как Dropbox, Google Drive и Microsoft OneDrive, управляемых злоумышленниками. Среди ключевых функций Xeno RAT — возможность загрузки дополнительных плагинов, управления процессами и связи с сервером команд и управления ( C2 ). Схожесть между двумя наборами для цифровых вторжений указывает на то, что UAT-5394 может быть либо самим Kimsuky (или его подразделением), либо другой группировкой в киберподразделении Северной Кореи, использующей инструменты Kimsuky. Ключевым элементом кампании является использование новой инфраструктуры, включая C2-серверы, сайты для размещения вредоносных программ и тестовые виртуальные машины. Эта инфраструктура была создана специально для поддержки новых версий MoonPeak. Исследователи Talos отметили, что C2-серверы хранят вредоносные артефакты, которые используются для создания и поддержки новой инфраструктуры. В нескольких случаях наблюдались действия злоумышленников по доступу к существующим серверам для обновления полезной нагрузки и извлечения информации, собранной с помощью MoonPeak. Сдвиг в использовании собственной инфраструктуры вместо легитимных облачных хранилищ подчёркивает изменение подхода хакеров. Однако цели текущей кампании пока неизвестны. Важно отметить, что «постоянная эволюция MoonPeak тесно связана с созданием новой инфраструктуры злоумышленниками», и каждая новая версия вредоносного ПО включает новые методы сокрытия и изменения в механизме связи, чтобы предотвратить несанкционированные подключения. Исследователи также подчеркнули, что хакеры обеспечили совместимость конкретных версий MoonPeak только с определенными вариантами C2-серверов. Быстрая разработка новых инструментов и инфраструктуры указывает на намерение группы быстро расширить кампанию и создать больше точек доступа и C2-серверов. |
Проверить безопасность сайта