RAT جدید MoonPeak به گروه تهدید کره شمالی UAT-5394 مرتبط شده است.

RAT جدید MoonPeak به گروه تهدید کره شمالی UAT-5394 مرتبط شده است.

یک خانواده تروجان دسترسی از راه دور (RAT) تازه کشف شده، MoonPeak، با یک گروه تهدید کره شمالی به نام UAT-5394 مرتبط شده است.

طبق تحقیقات اخیر Cisco Talos، این ب،زار پیشرفته، مبتنی بر منبع باز XenoRAT، در حال توسعه فعال است و پیشرفت های قابل توجهی را با هدف فرار از شناسایی و بهبود عملکرد نشان می دهد.

با کیمسوکی تماس بگیرید

گروه UAT-5394، یک بازیگر نوظهور در چشم‌انداز تهدید سایبری کره شمالی، برخی از تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTPs) را با گروه کیمسوکی تحت حمایت ،ت کره شمالی به اشتراک می‌گذارد.

اگرچه شواهد فنی قطعی که UAT-5394 را مستقیماً به کیمسوکی مرتبط کند وجود ندارد، همپوش، در ال،ای عملیاتی این احتمال را افزایش می‌دهد که UAT-5394 یا یک زیرگروه در کیمسوکی یا موجودیت دیگری است که از کتاب کیمسوکی وام گرفته است.

درباره تهدیدات سایبری کره شمالی بیشتر بخو،د: هکرهای کره شمالی ایمیل های خبرنگاران را جعل می کنند تا از کارشناسان سیاست جاسوسی کنند.

توسعه ب،زار MoonPeak

صرف نظر از اتصال، این گروه در ابتدا با استفاده از ارائه دهندگان ذخیره سازی ابری برای میزب، بارهای م،ب مشاهده شد، اما از آن زمان به سرورهای کنترل شده توسط مهاجمان منتقل شده است، که احتمالاً خطرات مرتبط با بسته شدن سایت های ابری توسط ارائه دهندگان را کاهش می دهد.

ب،زار MoonPeak نیز از طریق چندین نسخه تکامل یافته است و هر نسخه لایه های جدیدی از مبهم سازی و پروتکل های ارتباطی منحصر به فرد را معرفی می کند.

این تغییرات، که شامل تغییرات در فضای نام ب،زار و تکنیک‌های فشرده‌سازی است، برای جلوگیری از تجزیه و تحلیل و جلوگیری از دسترسی غیرمجاز به سرورهای فرمان و کنترل ب،زار (C2) طراحی شده‌اند.

زیرساخت های پیچیده C2

این تحقیق همچنین نشان داد که UAT-5394 یک شبکه پیچیده از سرورهای C2 و زیرساخت های آزمایشی ایجاد کرده است که نشان دهنده سطح بالایی از سازماندهی و برنامه ریزی است.

تجزیه و تحلیل نمونه‌های MoonPeak تکامل ب،زار و اجزای C2 مربوط به آن را نشان می‌دهد، که عامل‌های تهدیدکننده را به استقرار چندین بار در دستگاه‌های آزمایشی خود هدایت می‌کند. Cisco Talos توضیح داد.

این شرکت امنیتی همچنین اعلام کرد که گسترش سریع زیرساخت ها نشان دهنده قصد این گروه برای گسترش دامنه عملیات خود است که تهدیدی فزاینده برای امنیت سایبری جه، است. ارتباط بالقوه با کیمسوکه نگر، های پیرامون این تهدید نوظهور را افزایش می دهد.

منبع: https://www.infosecurity-magazine.com/news/moonpeak-rat-north-korea/