Siber Muhbir

Cisco Talos, kötü niyetli siber kampanyayı, UAT-5394 olarak izlediği bir bilgisayar korsanlığı grubuna bağladı ve bu grubun Kimsuky kod adlı bilinen bir ulus devlet aktörü ile bir miktar taktiksel örtüşme sergilediğini söyledi.

Tehdit aktörü tarafından aktif olarak geliştirilmekte olan MoonPeak, daha önce Dropbox, Google Drive ve Microsoft OneDrive gibi aktör tarafından kontrol edilen bulut hizmetlerinden yükü almak için tasarlanmış kimlik avı saldırılarının bir parçası olarak dağıtılan açık kaynaklı Xeno RAT kötü amaçlı yazılımının bir çeşididir.

Xeno RAT'ın temel özelliklerinden bazıları, ek eklentiler yükleme, işlemleri başlatma ve sonlandırma ve bir komut ve kontrol (C2) sunucusuyla iletişim kurma yeteneğini içerir.

Talos, iki izinsiz giriş seti arasındaki ortak noktaların ya UAT-5394'ün aslında Kimsuky (veya alt grubu) olduğunu ya da Kuzey Kore siber aygıtı içindeki araç kutusunu Kimsuky'den ödünç alan başka bir bilgisayar korsanlığı ekibi olduğunu gösterdiğini söyledi.

Kampanyayı gerçekleştirmenin anahtarı, MoonPeak'in yeni yinelemelerini oluşturmak için oluşturulan C2 sunucuları, yük barındırma siteleri ve test sanal makineleri dahil olmak üzere yeni altyapının kullanılmasıdır.

Talos araştırmacıları Asheer Malhotra, Guilherme Vene ve Vitor Ventura Çarşamba günü yaptıkları bir analizde, "C2 sunucusu, daha sonra bu kampanyayı desteklemek için yeni altyapıya erişmek ve kurmak için kullanılan kötü amaçlı eserleri indirmek için barındırıyor" dedi.

"Birden fazla durumda, tehdit aktörünün yüklerini güncellemek ve MoonPeak enfeksiyonlarından toplanan günlükleri ve bilgileri almak için mevcut sunuculara eriştiğini de gözlemledik."

Değişim, meşru bulut depolama sağlayıcılarını kullanmaktan kendi sunucularını kurmaya kadar daha geniş bir dönüşün parçası olarak görülüyor. Bununla birlikte, kampanyanın hedefleri şu anda bilinmemektedir.

Burada dikkat edilmesi gereken önemli bir husus, "MoonPeak'in sürekli evriminin tehdit aktörleri tarafından kurulan yeni altyapı ile el ele çalışması" ve kötü amaçlı yazılımın her yeni sürümünün, yetkisiz bağlantıları önlemek için analizi ve genel iletişim mekanizmasındaki değişiklikleri engellemek için daha fazla gizleme tekniği sunmasıdır.

Araştırmacılar, "Basitçe söylemek gerekirse, tehdit aktörleri MoonPeak'in belirli varyantlarının yalnızca C2 sunucusunun belirli varyantlarıyla çalışmasını sağladı" dedi.

"Yeni kötü amaçlı yazılımların tutarlı bir şekilde benimsenmesinin ve MoonPeak örneğinde olduğu gibi evriminin zaman çizelgeleri, UAT-5394'ün cephaneliklerine daha fazla araç eklemeye ve geliştirmeye devam ettiğini vurguluyor. UAT-5394 tarafından yeni destek altyapısı kurmanın hızlı temposu, grubun bu kampanyayı hızla çoğaltmayı ve daha fazla bırakma noktası ve C2 sunucusu kurmayı hedeflediğini gösteriyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.