Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

MoonPeak: троян из КНДР нацелен на корпоративные сети

23/08/24

hack korea2-4

Новый троян удалённого доступа (RAT) под названием MoonPeak был обнаружен в рамках кампании, проводимой кибергруппировкой, связанной с правительством Северной Кореей. Эксперты Cisco Talos приписали эту вредоносную кампанию хакерской группе UAT-5394, которая, по их данным, имеет тактические пересечения с известным актором национального уровня под кодовым именем Kimsuky.

Вредонос MoonPeak, находящийся в активной разработке, представляет собой вариант известного вредоносного ПО Xeno RAT, которое ранее использовалось в фишинговых атаках, пишет Securitylab. Эти атаки были нацелены на получение полезной нагрузки с облачных сервисов, таких как Dropbox, Google Drive и Microsoft OneDrive, управляемых злоумышленниками. Среди ключевых функций Xeno RAT — возможность загрузки дополнительных плагинов, управления процессами и связи с сервером команд и управления (C2).

Схожесть между двумя наборами для цифровых вторжений указывает на то, что UAT-5394 может быть либо самим Kimsuky (или его подразделением), либо другой группировкой в киберподразделении Северной Кореи, использующей инструменты Kimsuky.

Ключевым элементом кампании является использование новой инфраструктуры, включая C2-серверы, сайты для размещения вредоносных программ и тестовые виртуальные машины. Эта инфраструктура была создана специально для поддержки новых версий MoonPeak.

Исследователи Talos отметили, что C2-серверы хранят вредоносные артефакты, которые используются для создания и поддержки новой инфраструктуры. В нескольких случаях наблюдались действия злоумышленников по доступу к существующим серверам для обновления полезной нагрузки и извлечения информации, собранной с помощью MoonPeak.

Сдвиг в использовании собственной инфраструктуры вместо легитимных облачных хранилищ подчёркивает изменение подхода хакеров. Однако цели текущей кампании пока неизвестны.

Важно отметить, что «постоянная эволюция MoonPeak тесно связана с созданием новой инфраструктуры злоумышленниками», и каждая новая версия вредоносного ПО включает новые методы сокрытия и изменения в механизме связи, чтобы предотвратить несанкционированные подключения.

Исследователи также подчеркнули, что хакеры обеспечили совместимость конкретных версий MoonPeak только с определенными вариантами C2-серверов. Быстрая разработка новых инструментов и инфраструктуры указывает на намерение группы быстро расширить кампанию и создать больше точек доступа и C2-серверов.

Темы:ПреступленияКНДРCisco TalosRAT-трояны
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...