Um novo trojan de acesso remoto chamado MoonPeak foi descoberto sendo utilizado por um grupo de atividade de ameaça patrocinado pelo estado norte-coreano como parte de uma nova campanha.
A Cisco Talos atribuiu a campanha de ciberataques maliciosos ao grupo de hackers chamado UAT-5394, que, segundo ela, apresenta alguns níveis de sobreposições táticas com um ator estatal conhecido pelo codinome Kimsuky.
MoonPeak, em desenvolvimento ativo pelo agente de ameaça, é uma variante do malware Xeno RAT de código aberto, que foi implantado anteriormente como parte de ataques de phishing projetados para recuperar o payload a partir de serviços de nuvem controlados pelo ator, como Dropbox, Google Drive e Microsoft OneDrive.
Algumas características-chave do Xeno RAT incluem a capacidade de carregar plugins adicionais, iniciar e terminar processos e comunicar-se com um servidor de comando e controle (C2).
A Talos disse que as semelhanças entre os dois conjuntos de intrusão indicam que UAT-5394 é na verdade o Kimsuky (ou seu subgrupo) ou é outra equipe de hackers dentro do aparato cibernético norte-coreano que empresta sua caixa de ferramentas do Kimsuky.
A chave para a realização da campanha é o uso de nova infraestrutura, incluindo servidores C2, sites de hospedagem de payload e máquinas virtuais de teste, que foram criados para gerar novas iterações do MoonPeak.
"O servidor C2 hospeda artefatos maliciosos para download, que são então utilizados para acessar e configurar nova infraestrutura para apoiar esta campanha", disseram os pesquisadores da Talos, Asheer Malhotra, Guilherme Venere e Vitor Ventura, em uma análise de quarta-feira(21).
Em várias instâncias, também observamos o agente de ameaça acessando servidores existentes para atualizar seus payloads e recuperar logs e informações coletadas de infecções por MoonPeak.
A mudança é vista como parte de uma guinada mais ampla de uso de provedores legítimos de armazenamento em nuvem para configurar seus próprios servidores.
Dito isso, os alvos da campanha atualmente não são conhecidos.
Um aspecto importante a ser observado aqui é que "a evolução constante do MoonPeak caminha lado a lado com a nova infraestrutura estabelecida pelos agentes de ameaça" e que cada nova versão do malware introduz mais técnicas de ofuscação para frustrar a análise e alterações no mecanismo de comunicação geral para evitar conexões não autorizadas.
"Simplificando, os agentes de ameaça garantiram que variantes específicas do MoonPeak funcionem apenas com variantes específicas do servidor C2", apontaram os pesquisadores.
As cronologias da adoção consistente de novo malware e sua evolução, como no caso do MoonPeak, destacam que a UAT-5394 continua a adicionar e aprimorar mais ferramentas em seu arsenal.
O ritmo rápido de estabelecimento de nova infraestrutura de suporte pela UAT-5394 indica que o grupo visa proliferar rapidamente esta campanha e configurar mais pontos de drop e servidores C2.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...