Контакты
Подписка 2025
ITSEC 2025
Интеграция безопасности в процессы внутренней разработки. 3-4 июня на Форуме ITSEC 2025 (весна)
Регистрируйтесь и участвуйте!

MoonPeak: троян из КНДР нацелен на корпоративные сети

23/08/24

hack korea2-4

Новый троян удалённого доступа (RAT) под названием MoonPeak был обнаружен в рамках кампании, проводимой кибергруппировкой, связанной с правительством Северной Кореей. Эксперты Cisco Talos приписали эту вредоносную кампанию хакерской группе UAT-5394, которая, по их данным, имеет тактические пересечения с известным актором национального уровня под кодовым именем Kimsuky.

Вредонос MoonPeak, находящийся в активной разработке, представляет собой вариант известного вредоносного ПО Xeno RAT, которое ранее использовалось в фишинговых атаках, пишет Securitylab. Эти атаки были нацелены на получение полезной нагрузки с облачных сервисов, таких как Dropbox, Google Drive и Microsoft OneDrive, управляемых злоумышленниками. Среди ключевых функций Xeno RAT — возможность загрузки дополнительных плагинов, управления процессами и связи с сервером команд и управления (C2).

Схожесть между двумя наборами для цифровых вторжений указывает на то, что UAT-5394 может быть либо самим Kimsuky (или его подразделением), либо другой группировкой в киберподразделении Северной Кореи, использующей инструменты Kimsuky.

Ключевым элементом кампании является использование новой инфраструктуры, включая C2-серверы, сайты для размещения вредоносных программ и тестовые виртуальные машины. Эта инфраструктура была создана специально для поддержки новых версий MoonPeak.

Исследователи Talos отметили, что C2-серверы хранят вредоносные артефакты, которые используются для создания и поддержки новой инфраструктуры. В нескольких случаях наблюдались действия злоумышленников по доступу к существующим серверам для обновления полезной нагрузки и извлечения информации, собранной с помощью MoonPeak.

Сдвиг в использовании собственной инфраструктуры вместо легитимных облачных хранилищ подчёркивает изменение подхода хакеров. Однако цели текущей кампании пока неизвестны.

Важно отметить, что «постоянная эволюция MoonPeak тесно связана с созданием новой инфраструктуры злоумышленниками», и каждая новая версия вредоносного ПО включает новые методы сокрытия и изменения в механизме связи, чтобы предотвратить несанкционированные подключения.

Исследователи также подчеркнули, что хакеры обеспечили совместимость конкретных версий MoonPeak только с определенными вариантами C2-серверов. Быстрая разработка новых инструментов и инфраструктуры указывает на намерение группы быстро расширить кампанию и создать больше точек доступа и C2-серверов.

Темы:ПреступленияКНДРCisco TalosRAT-трояны
КИИ
Защита контейнеров и микросервисной разработки на Форуме ITSEC 2025
Регистрируйтесь и участвуйте 4 июня 2025 →

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Проектирование и защита API на Форуме ITSEC 2025
Посетите 3-4 июня →

Еще темы...

More...