MoonPeak: загадочный троян из КНДР наводит ужас на корпоративные сети
Облачные сервисы стали ключевым звеном в распространении цифровой заразы.
Новый троян удалённого доступа (RAT) под названием MoonPeak был обнаружен в рамках кампании, проводимой кибергруппировкой, связанной с правительством Северной Кореей. Эксперты Cisco Talos приписали эту вредоносную кампанию хакерской группе UAT-5394, которая, по их данным, имеет тактические пересечения с известным актором национального уровня под кодовым именем Kimsuky.
Вредонос MoonPeak, находящийся в активной разработке, представляет собой вариант известного вредоносного ПО Xeno RAT, которое ранее использовалось в фишинговых атаках. Эти атаки были нацелены на получение полезной нагрузки с облачных сервисов, таких как Dropbox, Google Drive и Microsoft OneDrive, управляемых злоумышленниками. Среди ключевых функций Xeno RAT — возможность загрузки дополнительных плагинов, управления процессами и связи с сервером команд и управления (C2).
Схожесть между двумя наборами для цифровых вторжений указывает на то, что UAT-5394 может быть либо самим Kimsuky (или его подразделением), либо другой группировкой в киберподразделении Северной Кореи, использующей инструменты Kimsuky.
Ключевым элементом кампании является использование новой инфраструктуры, включая C2-серверы, сайты для размещения вредоносных программ и тестовые виртуальные машины. Эта инфраструктура была создана специально для поддержки новых версий MoonPeak.
Исследователи Talos отметили, что C2-серверы хранят вредоносные артефакты, которые используются для создания и поддержки новой инфраструктуры. В нескольких случаях наблюдались действия злоумышленников по доступу к существующим серверам для обновления полезной нагрузки и извлечения информации, собранной с помощью MoonPeak.
Сдвиг в использовании собственной инфраструктуры вместо легитимных облачных хранилищ подчёркивает изменение подхода хакеров. Однако цели текущей кампании пока неизвестны.
Важно отметить, что «постоянная эволюция MoonPeak тесно связана с созданием новой инфраструктуры злоумышленниками», и каждая новая версия вредоносного ПО включает новые методы сокрытия и изменения в механизме связи, чтобы предотвратить несанкционированные подключения.
Исследователи также подчеркнули, что хакеры обеспечили совместимость конкретных версий MoonPeak только с определенными вариантами C2-серверов. Быстрая разработка новых инструментов и инфраструктуры указывает на намерение группы быстро расширить кампанию и создать больше точек доступа и C2-серверов.