Угроза кибератак с территории Северной Кореи преобразуется с появлением вредоносного программного обеспечения MoonPeak.

Cisco Talos выявила хакерскую группу из Северной Кореи, «UAT-5394», использующую различные серверы для тестирования и управления своим вредоносным ПО. Они работают с новой версией вредоносного ПО под названием «MoonPeak», основанной на более раннем вредоносном ПО под названием XenoRAT.

В своем отчете, опубликованном вчера, исследователи утверждают, что MoonPeak основан на общедоступном исходном коде для XenoRAT, который был выпущен на GitHub около октября 2023 года.

Хотя MoonPeak сохраняет многие изначальные функции XenoRAT, анализ Cisco Talos выявил последовательные изменения в его вариантах, указывающие на то, что злоумышленники самостоятельно модифицируют и развивают код, выходя за рамки открытой версии.

Несмотря на то, что у MoonPeak есть некоторые сходства с вредоносным ПО, используемым известной северокорейской группой под названием «Kimsuky», Cisco Talos заявляет, что у них недостаточно доказательств для подтверждения прямой связи между ними.

Исследователи предполагают, что новое вредоносное ПО открывает две основные возможности. Во-первых, UAT-5394 может быть Kimsuky или подгруппой Kimsuky, которая заменяет свое старое вредоносное ПО на MoonPeak.

В качестве альтернативы, UAT-5394 может быть другой северокорейской группой, которая использует аналогичные методы и инфраструктуру, как Kimsuky.

Пока что Cisco Talos решили рассматривать UAT-5394 как отдельную группу, пока у них не появится больше доказательств для связывания их с Kimsuky или подтверждения их как уникальной группы в рамках хакерских операций Северной Кореи.

Исследователи из Cisco Talos также раскрыли, что группа использует специальные серверы для тестирования и обновления MoonPeak. Cisco Talos предполагают, что группа использует эти серверы для загрузки и контроля вредоносного программного обеспечения, и они часто обращаются к этим серверам через VPN, чтобы управлять и обновлять свое вредоносное ПО.

Более того, Cybersecurity News (CN) сообщает, что вредоносное ПО XenoRAT претерпело несколько модификаций от своих создателей, включая изменения в пространстве имен клиента, протоколе связи и техниках обфускации.

Эти обновления предназначены для усовершенствования тактик уклонения и предотвращения взаимодействия нежелательных клиентов с инфраструктурой командного и контрольного (C2) узла.

Согласно The Cyber Express (TCE), исследователи отметили значительное изменение в тактике актера в июне 2024 года. Они перешли от использования законных облачных хранилищ к размещению вредоносных нагрузок на системах и серверах, которые теперь принадлежат и контролируются ими.

TCE предполагает, что этот шаг, скорее всего, был направлен на защиту их операций от возможных прекращений работы со стороны облачных сервис-провайдеров.

Наконец, CN отмечает, что быстрый темп этих изменений отражает стремление группы быстро расширить свою кампанию, устанавливая все больше точек сброса и серверов C2.