Cyberzagrożenie ze strony Korei Północnej ewoluuje z Malware’iem MoonPeak

Cisco Talos zidentyfikowało północnokoreańską grupę hakerów, „UAT-5394”, wykorzystującą różne serwery do testowania i kontrolowania swojego złośliwego oprogramowania. Pracują nad nową wersją malware o nazwie „MoonPeak”, który bazuje na wcześniejszym złośliwym oprogramowaniu o nazwie XenoRAT.

W swoim raporcie, opublikowanym wczoraj, badacze stwierdzają, że MoonPeak bazuje na publicznie dostępnym kodzie źródłowym XenoRAT, który został udostępniony na GitHubie około października 2023 roku.

Chociaż MoonPeak zachowuje wiele z oryginalnych funkcjonalności XenoRAT, analiza Cisco Talos zidentyfikowała stałe zmiany we wszystkich jego wariantach, co wskazuje, że aktorzy zagrożenia modyfikują i rozwijają kod niezależnie, wykraczając poza wersję open-source.

Mimo że MoonPeak ma pewne podobieństwa do malware’u używanego przez znaną północnokoreańską grupę o nazwie „Kimsuky”, Cisco Talos twierdzi, że nie mają wystarczających dowodów, aby potwierdzić bezpośrednie powiązanie między nimi.

Badacze sugerują, że nowe złośliwe oprogramowanie stwarza dwie główne możliwości. Po pierwsze, UAT-5394 może być Kimsuky lub podgrupą Kimsuky, która zastępuje swoje stare złośliwe oprogramowanie MoonPeak.

Alternatywnie, UAT-5394 może być inną północnokoreańską grupą, która korzysta z podobnych technik i infrastruktury do Kimsuky.

Na razie, Cisco Talos postanawia traktować UAT-5394 jako oddzielną grupę, dopóki nie uzyskają więcej dowodów, które połączyłyby ich z Kimsuky lub potwierdziły ich jako unikalną grupę w ramach operacji hakerskich Korei Północnej.

Badacze z Cisco Talos ujawnili również, że grupa korzysta ze specjalnych serwerów do testowania i aktualizacji MoonPeak. Cisco Talos sugeruje, że grupa używa tych serwerów do pobierania i kontrolowania złośliwego oprogramowania, a często dostęp do tych serwerów uzyskują za pośrednictwem VPN, aby zarządzać i aktualizować swoje złośliwe oprogramowanie.

Ponadto, Cybersecurity News (CN) informuje, że malware XenoRAT przeszedł kilka modyfikacji wprowadzonych przez jego twórców, w tym zmiany w przestrzeni nazw klienta, protokole komunikacyjnym i technikach utrudniających analizę.

Te aktualizacje są zaprojektowane w celu zwiększenia skuteczności taktyk unikania wykrycia oraz zapobiegania niechcianym klientom interakcji z infrastrukturą poleceń i kontroli (C2).

Według The Cyber Express (TCE), badacze zauważyli znaczącą zmianę taktyki aktora w czerwcu 2024 roku. Przeszli od korzystania z legalnych dostawców pamięci w chmurze do hostowania złośliwych ładunków na systemach i serwerach, które teraz posiadają i kontrolują.

TCE sugeruje, że ten ruch prawdopodobnie miał na celu zabezpieczenie ich operacji przed potencjalnym zamknięciem przez dostawców usług w chmurze.

Na koniec, CN zauważa, że szybkie tempo tych zmian odzwierciedla wysiłki grupy na rzecz szybkiego rozszerzania swojej kampanii, jednocześnie tworząc więcej punktów zrzutu i serwerów C2.