یک خانواده تروجان دسترسی از راه دور (RAT) تازه کشف شده، MoonPeak، با یک گروه تهدید کره شمالی به نام UAT-5394 مرتبط شده است.
طبق تحقیقات اخیر Cisco Talos، این ب،زار پیشرفته، مبتنی بر منبع باز XenoRAT، در حال توسعه فعال است و پیشرفت های قابل توجهی را با هدف فرار از شناسایی و بهبود عملکرد نشان می دهد.
با کیمسوکی تماس بگیرید
گروه UAT-5394، یک بازیگر نوظهور در چشمانداز تهدید سایبری کره شمالی، برخی از تاکتیکها، تکنیکها و رویهها (TTPs) را با گروه کیمسوکی تحت حمایت ،ت کره شمالی به اشتراک میگذارد.
اگرچه شواهد فنی قطعی که UAT-5394 را مستقیماً به کیمسوکی مرتبط کند وجود ندارد، همپوش، در ال،ای عملیاتی این احتمال را افزایش میدهد که UAT-5394 یا یک زیرگروه در کیمسوکی یا موجودیت دیگری است که از کتاب کیمسوکی وام گرفته است.
درباره تهدیدات سایبری کره شمالی بیشتر بخو،د: هکرهای کره شمالی ایمیل های خبرنگاران را جعل می کنند تا از کارشناسان سیاست جاسوسی کنند.
توسعه ب،زار MoonPeak
صرف نظر از اتصال، این گروه در ابتدا با استفاده از ارائه دهندگان ذخیره سازی ابری برای میزب، بارهای م،ب مشاهده شد، اما از آن زمان به سرورهای کنترل شده توسط مهاجمان منتقل شده است، که احتمالاً خطرات مرتبط با بسته شدن سایت های ابری توسط ارائه دهندگان را کاهش می دهد.
ب،زار MoonPeak نیز از طریق چندین نسخه تکامل یافته است و هر نسخه لایه های جدیدی از مبهم سازی و پروتکل های ارتباطی منحصر به فرد را معرفی می کند.
این تغییرات، که شامل تغییرات در فضای نام ب،زار و تکنیکهای فشردهسازی است، برای جلوگیری از تجزیه و تحلیل و جلوگیری از دسترسی غیرمجاز به سرورهای فرمان و کنترل ب،زار (C2) طراحی شدهاند.
زیرساخت های پیچیده C2
این تحقیق همچنین نشان داد که UAT-5394 یک شبکه پیچیده از سرورهای C2 و زیرساخت های آزمایشی ایجاد کرده است که نشان دهنده سطح بالایی از سازماندهی و برنامه ریزی است.
تجزیه و تحلیل نمونههای MoonPeak تکامل ب،زار و اجزای C2 مربوط به آن را نشان میدهد، که عاملهای تهدیدکننده را به استقرار چندین بار در دستگاههای آزمایشی خود هدایت میکند. Cisco Talos توضیح داد.
این شرکت امنیتی همچنین اعلام کرد که گسترش سریع زیرساخت ها نشان دهنده قصد این گروه برای گسترش دامنه عملیات خود است که تهدیدی فزاینده برای امنیت سایبری جه، است. ارتباط بالقوه با کیمسوکه نگر، های پیرامون این تهدید نوظهور را افزایش می دهد.
منبع: https://www.infosecurity-magazine.com/news/moonpeak-rat-north-korea/