Észak-koreai hackerek az új MoonPeak trójai vírust vetik be
Biztonsági kutatók egy új MoonPeak nevű távoli hozzáférési trójai vírust fedeztek fel, amelyet egy új kampány részeként egy államilag támogatott észak-koreai kiberszereplő használ. A Cisco Talos a rosszindulatú kiberkampányt az általa UAT-5394 néven nyomon követett hackercsoportnak tulajdonította, amely szerinte bizonyos szintű taktikai átfedéseket mutat egy ismert nemzetállami szereplővel, a Kimsuky-val.
A MoonPeak, amelyet a kiberszereplő aktívan fejleszt, a nyílt forráskódú Xeno RAT malware egy változata, amelyet korábban olyan adathalász-támadások részeként vetettek be, amelyek célja a payload lekérése a szereplő által ellenőrzött felhőszolgáltatásokból, például a Dropboxból, a Google Drive-ból és a Microsoft OneDrive-ból. A Xeno RAT néhány kulcsfontosságú jellemzője közé tartozik, hogy képes további bővítményeket betölteni, folyamatokat indítani és megszüntetni, valamint kommunikálni egy parancs- és vezérlő (C2) szerverrel. A Talos szerint a két behatoláskészlet (intrusion set) közötti hasonlóságok vagy arra utalnak, hogy az UAT-5394 valójában a Kimsuky (vagy annak alcsoportja), vagy pedig egy másik hackercsapat az észak-koreai kiberapparátuson belül, amely a Kimsuky-tól kölcsönzi az eszköztárát.
A kampány megvalósításának kulcsa az új infrastruktúra használata, beleértve a C2 szervereket, a hasznos terhet tároló oldalakat és a teszt virtuális gépeket, amelyeket a MoonPeak új iterációinak létrehozásához hoztak létre. „A C2 szerver rosszindulatú artefaktumokat fogad letöltésre, amelyeket aztán a kampányt támogató új infrastruktúrához való hozzáférésre és annak létrehozására használnak” – áll Asheer Malhotra, Guilherme Venere és Vitor Ventura, a Talos kutatóinak elemzésében.
