思科 Talos 团队发现一种名为MoonPeak的新型远程访问木马,思科 Talos 将此次恶意网络活动归咎于其追踪的编号为 UAT-5394 的黑客组织,并称该组织与代号为Kimsuky 的朝鲜黑客组织存在一定程度的战术重叠。
MoonPeak 是由攻击者开发的,它是开源Xeno RAT恶意软件的一个变种,之前曾作为网络钓鱼攻击的一部分进行部署,旨在从攻击者控制的云服务(如 Dropbox、Google Drive 和 Microsoft OneDrive)中检索有效负载。
Xeno RAT 的一些主要功能包括加载附加插件、启动和终止进程以及与命令和控制 (C2) 服务器通信的能力。
Talos 表示,两组入侵行为之间的共同点表明 UAT-5394 实际上是 Kimsuky(或其分支)发起的,或者是朝鲜网络机构内的另一个黑客团队,他们从 Kimsuky 那里借用了工具箱。
实现该活动的关键是使用新的基础设施,包括 C2 服务器、有效载荷托管站点和测试虚拟机,这些都是为生成 MoonPeak 的新迭代而创建。
Talos 研究人员 Asheer Malhotra、Guilherme Venere 和 Vitor Ventura在周三发表的分析报告中表示:“C2 服务器托管可供下载的恶意文件,然后用于访问和设置新的基础设施来支持这一活动。”
“在多个实例中,我们还观察到攻击者访问现有服务器以更新其有效载荷并检索从 MoonPeak 感染收集的日志和信息。”
这一转变被视为从使用合法云存储提供商转向建立自己的服务器的更广泛举措的一部分。不过,目前尚不清楚此次活动的目标。
这里要注意的一个重要方面是“MoonPeak 的不断发展与威胁行为者建立的新基础设施密切相关”,并且每个新版本的恶意软件都会引入更多的混淆技术来阻止分析和改变整体通信机制以防止未经授权的连接。
“简而言之,攻击者确保 MoonPeak 的特定变体仅与 C2 服务器的特定变体一起工作。”研究人员指出,“新恶意软件的持续采用及其演变(例如 MoonPeak 的情况)的时间表突显出 UAT-5394 继续在其武器库中添加和增强更多工具。UAT-5394 建立新支持基础设施的速度之快表明,该组织旨在迅速扩大这一活动并建立更多的投放点和 C2 服务器。”
转自军哥网络安全读报
暂无评论内容