قراصنة كوريا الشمالية ينشرون حصان طروادة New MoonPeak في حملة إلكترونية
تم استدعاء حصان طروادة جديد للوصول عن بعد مونبيك تم اكتشاف أنه يتم استخدامه من قبل مجموعة أنشطة التهديد الكورية الشمالية التي ترعاها الدولة كجزء من حملة جديدة.
وأرجعت Cisco Talos الحملة السيبرانية الخبيثة إلى مجموعة قرصنة تتتبعها باسم UAT-5394، والتي قالت إنها تُظهر مستوى معينًا من التداخلات التكتيكية مع ممثل دولة قومية معروف يحمل الاسم الرمزي Kimsuky.
MoonPeak، قيد التطوير النشط من قبل جهة التهديد، هو نسخة مختلفة من البرنامج الخبيث Xeno RAT مفتوح المصدر، والذي تم تم نشرها سابقًا كجزء من هجمات التصيد الاحتيالي المصممة لاسترداد الحمولة من الخدمات السحابية التي يتحكم فيها الممثل مثل Dropbox وGoogle Drive وMicrosoft OneDrive.
تتضمن بعض الميزات الرئيسية لبرنامج Xeno RAT القدرة على تحميل مكونات إضافية إضافية، وإطلاق العمليات وإنهائها، والتواصل مع خادم الأوامر والتحكم (C2).
وقال تالوس إن القواسم المشتركة بين مجموعتي الاختراق تشير إما إلى أن UAT-5394 هو في الواقع Kimsuky (أو مجموعتها الفرعية) أو أنه طاقم قرصنة آخر داخل الجهاز السيبراني الكوري الشمالي الذي يستعير صندوق أدواته من Kimsuky.
المفتاح لتحقيق الحملة هو استخدام البنية التحتية الجديدة، بما في ذلك خوادم C2، ومواقع استضافة الحمولة، والأجهزة الافتراضية الاختبارية، التي تم إنشاؤها لإنتاج تكرارات جديدة لـ MoonPeak.
“يستضيف خادم C2 عناصر ضارة للتنزيل، والتي يتم استخدامها بعد ذلك للوصول إلى بنية تحتية جديدة وإعدادها لدعم هذه الحملة،” هذا ما قاله باحثو Talos Asher Malhotra وGuilherme Venere وVitor Ventura. قال في تحليل الاربعاء
“في حالات متعددة، لاحظنا أيضًا وصول جهة التهديد إلى الخوادم الحالية لتحديث حمولاتها واسترداد السجلات والمعلومات التي تم جمعها من إصابات MoonPeak.”
يُنظر إلى هذا التحول على أنه جزء من محور أوسع من استخدام موفري التخزين السحابي الشرعيين إلى إعداد خوادمهم الخاصة. ومع ذلك، فإن أهداف الحملة غير معروفة حاليًا.
أحد الجوانب المهمة التي يجب ملاحظتها هنا هو أن “التطور المستمر لـ MoonPeak يسير جنبًا إلى جنب مع البنية التحتية الجديدة التي أنشأتها الجهات الفاعلة في مجال التهديد” وأن كل إصدار جديد من البرامج الضارة يقدم المزيد من تقنيات التشويش لإحباط التحليل والتغييرات في النظام العام آلية الاتصال لمنع الاتصالات غير المصرح بها.
وأشار الباحثون إلى أنه “ببساطة، تأكدت الجهات الفاعلة في مجال التهديد من أن إصدارات محددة من MoonPeak تعمل فقط مع إصدارات محددة من خادم C2”.
“إن الجداول الزمنية للتبني المستمر للبرامج الضارة الجديدة وتطورها كما هو الحال في MoonPeak تسلط الضوء على أن UAT-5394 يواصل إضافة وتعزيز المزيد من الأدوات في ترسانته. وتشير الوتيرة السريعة لإنشاء بنية تحتية داعمة جديدة بواسطة UAT-5394 إلى أن وتهدف المجموعة إلى نشر هذه الحملة بسرعة وإنشاء المزيد من نقاط التسليم وخوادم C2.”
إرسال التعليق