Észak-koreai hackerek az új MoonPeak trójai vírust vetik be

Editors' Pick

Biztonsági kutatók egy új MoonPeak nevű távoli hozzáférési trójai vírust fedeztek fel, amelyet egy új kampány részeként egy államilag támogatott észak-koreai kiberszereplő használ. A Cisco Talos a rosszindulatú kiberkampányt az általa UAT-5394 néven nyomon követett hackercsoportnak tulajdonította, amely szerinte bizonyos szintű taktikai átfedéseket mutat egy ismert nemzetállami szereplővel, a Kimsuky-val.

A MoonPeak, amelyet a kiberszereplő aktívan fejleszt, a nyílt forráskódú Xeno RAT malware egy változata, amelyet korábban olyan adathalász-támadások részeként vetettek be, amelyek célja a payload lekérése a szereplő által ellenőrzött felhőszolgáltatásokból, például a Dropboxból, a Google Drive-ból és a Microsoft OneDrive-ból. A Xeno RAT néhány kulcsfontosságú jellemzője közé tartozik, hogy képes további bővítményeket betölteni, folyamatokat indítani és megszüntetni, valamint kommunikálni egy parancs- és vezérlő (C2) szerverrel. A Talos szerint a két behatoláskészlet (intrusion set) közötti hasonlóságok vagy arra utalnak, hogy az UAT-5394 valójában a Kimsuky (vagy annak alcsoportja), vagy pedig egy másik hackercsapat az észak-koreai kiberapparátuson belül, amely a Kimsuky-tól kölcsönzi az eszköztárát.

A kampány megvalósításának kulcsa az új infrastruktúra használata, beleértve a C2 szervereket, a hasznos terhet tároló oldalakat és a teszt virtuális gépeket, amelyeket a MoonPeak új iterációinak létrehozásához hoztak létre. „A C2 szerver rosszindulatú artefaktumokat fogad letöltésre, amelyeket aztán a kampányt támogató új infrastruktúrához való hozzáférésre és annak létrehozására használnak” – áll Asheer Malhotra, Guilherme Venere és Vitor Ventura, a Talos kutatóinak elemzésében.

Forrás