Kuzey Koreli Hackerlar Siber Kampanyada Yeni MoonPeak Truva Atı Dağıtıyor
MoonPeak adlı yeni bir uzaktan erişim truva atının, yeni bir kampanyanın parçası olarak devlet destekli bir Kuzey Kore tehdit faaliyeti kümesi tarafından kullanıldığı keşfedildi.
Cisco Talos, kötü niyetli siber kampanyayı, UAT-5394 olarak izlediği bir bilgisayar korsanlığı grubuna bağladı ve bu grubun Kimsuky kod adlı bilinen bir ulus devlet aktörü ile bir miktar taktiksel örtüşme sergilediğini söyledi.
Tehdit aktörü tarafından aktif olarak geliştirilmekte olan MoonPeak, daha önce Dropbox, Google Drive ve Microsoft OneDrive gibi aktör tarafından kontrol edilen bulut hizmetlerinden yükü almak için tasarlanmış kimlik avı saldırılarının bir parçası olarak dağıtılan açık kaynaklı Xeno RAT kötü amaçlı yazılımının bir çeşididir.
Xeno RAT'ın temel özelliklerinden bazıları, ek eklentiler yükleme, işlemleri başlatma ve sonlandırma ve bir komut ve kontrol (C2) sunucusuyla iletişim kurma yeteneğini içerir.
Talos, iki izinsiz giriş seti arasındaki ortak noktaların ya UAT-5394'ün aslında Kimsuky (veya alt grubu) olduğunu ya da Kuzey Kore siber aygıtı içindeki araç kutusunu Kimsuky'den ödünç alan başka bir bilgisayar korsanlığı ekibi olduğunu gösterdiğini söyledi.
Kampanyayı gerçekleştirmenin anahtarı, MoonPeak'in yeni yinelemelerini oluşturmak için oluşturulan C2 sunucuları, yük barındırma siteleri ve test sanal makineleri dahil olmak üzere yeni altyapının kullanılmasıdır.
Talos araştırmacıları Asheer Malhotra, Guilherme Vene ve Vitor Ventura Çarşamba günü yaptıkları bir analizde, "C2 sunucusu, daha sonra bu kampanyayı desteklemek için yeni altyapıya erişmek ve kurmak için kullanılan kötü amaçlı eserleri indirmek için barındırıyor" dedi.
"Birden fazla durumda, tehdit aktörünün yüklerini güncellemek ve MoonPeak enfeksiyonlarından toplanan günlükleri ve bilgileri almak için mevcut sunuculara eriştiğini de gözlemledik."
Değişim, meşru bulut depolama sağlayıcılarını kullanmaktan kendi sunucularını kurmaya kadar daha geniş bir dönüşün parçası olarak görülüyor. Bununla birlikte, kampanyanın hedefleri şu anda bilinmemektedir.
Burada dikkat edilmesi gereken önemli bir husus, "MoonPeak'in sürekli evriminin tehdit aktörleri tarafından kurulan yeni altyapı ile el ele çalışması" ve kötü amaçlı yazılımın her yeni sürümünün, yetkisiz bağlantıları önlemek için analizi ve genel iletişim mekanizmasındaki değişiklikleri engellemek için daha fazla gizleme tekniği sunmasıdır.
Araştırmacılar, "Basitçe söylemek gerekirse, tehdit aktörleri MoonPeak'in belirli varyantlarının yalnızca C2 sunucusunun belirli varyantlarıyla çalışmasını sağladı" dedi.
"Yeni kötü amaçlı yazılımların tutarlı bir şekilde benimsenmesinin ve MoonPeak örneğinde olduğu gibi evriminin zaman çizelgeleri, UAT-5394'ün cephaneliklerine daha fazla araç eklemeye ve geliştirmeye devam ettiğini vurguluyor. UAT-5394 tarafından yeni destek altyapısı kurmanın hızlı temposu, grubun bu kampanyayı hızla çoğaltmayı ve daha fazla bırakma noktası ve C2 sunucusu kurmayı hedeflediğini gösteriyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı