MoonPeak Trojaner-Erkennung: Nordkoreanische Hacker setzen neuartigen RAT während ihrer neuesten bösartigen Kampagne ein
Inhaltsverzeichnis:
In der ersten Hälfte des Jahres 2024 haben von Nordkorea unterstützte Angreifer ihre Aktivitäten erheblich verstärkt und sowohl ihr bösartiges Toolset als auch die Bandbreite ihrer Ziele erweitert. Sicherheitsexperten haben einen bemerkenswerten Anstieg von Lieferkettenangriffen und trojanisierten Softwareinstallationen beobachtet, was einen wachsenden Trend unter den von Nordkorea staatlich gesponserten Gruppen unterstreicht. Kürzlich entdeckten Sicherheitsexperten ein brandneues Malware-Beispiel, das dem Arsenal hinzugefügt wurde. Es wird angenommen, dass dieser fortschrittliche Remote Access Trojaner (RAT) von einem nordkoreanischen Nexus von Bedrohungsakteuren betrieben wird, die möglicherweise Verbindungen zur berüchtigten Kimsuky Gruppe haben.
Erkennung von MoonPeak-Trojaner, eingesetzt von nordkoreanischen Hackern
Das sich kontinuierlich weiterentwickelnde offensive Toolset der nordkoreanischen Hacker-Kollektive erfordert eine ultra-responsive Cyberverteidigung. Die neueste Ergänzung des bösartigen Toolsets, der MoonPeak-Trojaner, unterstreicht die Notwendigkeit proaktiver Abwehrmaßnahmen. Das SOC Prime-Team kuratiert eine zugehörige Sigma-Regel, die hilft, verdächtige .NET-Methoden zu erkennen, die für offensive Zwecke genutzt werden.
Rufen Sie verdächtige .NET-Methoden von Powershell auf (via powershell)
Zusätzlich könnten Sicherheitsexperten, die nach kuratierten Erkennungsinhalten im Zusammenhang mit der nordkoreanischen Kimsuky APT suchen (die eine signifikante Überlappung der TTPs mit den MoonPeak-Operatoren zeigt), zugreifen auf eine breite Sammlung von Sigma-Regeln durch Drücken des Erkennungen erkunden Buttons unten.
Alle Erkennungsalgorithmen sind auf das MITRE ATT&CK®-Framework abgebildet und automatisch konvertierbar für die industrie-führenden SIEM-, EDR- und Data-Lake-Technologien für eine nahtlose plattformübergreifende Bedrohungserkennung.
MoonPeak-Malware-Analyse
Eine aktuelle Forschung von Cisco Talos wirft ein Licht auf den kürzlich entdeckten MoonPeak RAT, der aktiv von nordkoreanischen Gegnern während ihrer neuesten bösartigen Kampagne eingesetzt wird. Sicherheitsexperten verfolgen die Gruppe hinter MoonPeak, die als UAT-5394 bezeichnet wird und klare Ähnlichkeiten in bösartigen TTPs mit der berüchtigten Kimsuky APT aufweist.
Tatsächlich ist MoonPeak eine angepasste Version der Open-Source-Malware Xeno RAT, die zunehmend von Angreifern in Phishing-Kampagnen eingesetzt wird, die darauf abzielen, die bösartige Nutzlast von verschiedenen Cloud-Diensten wie Dropbox und Google Drive abzurufen. Xeno RAT verfügt über eine Reihe bösartiger Fähigkeiten, darunter das Laden zusätzlicher Plugins, das Starten und Beenden von Prozessen und die Kommunikation mit einem C2-Server. Diese Funktionen wurden in der neuesten Version des Trojaners effektiv auf MoonPeak übertragen.
Sicherheitsforscher stellen auch fest, dass die Malware-Operatoren hinter MoonPeak ständig die Fähigkeiten der Malware erweitern und anpassen. Ciso Talos weist tatsächlich darauf hin, dass Gegner die neue Infrastruktur einrichten, einschließlich C2-Server, Hostings und Test-VMs, um die bösartige Kampagne mit MoonPeak im Mittelpunkt fortzusetzen.
In mehreren Fällen griff der Bedrohungsakteur auf vorhandene Server zu, um Nutzlasten zu aktualisieren und Protokolle von MoonPeak-Infektionen abzurufen. Diese Verschiebung von legitimen Cloud-Speichern zu ihren eigenen Servern passt zum laufenden Wandel von MoonPeak, bei dem jede neue Version verbesserte Verschleierung und veränderte Kommunikationsmechanismen einführt, um einer Erkennung zu entgehen.
Da MoonPeak- und Xeno RAT-Kampagnen viele Gemeinsamkeiten in Taktiken, Techniken und Verfahren (TTPs) teilen, vermuten Sicherheitsexperten, dass der UAT-5394-Cluster mit der Kimsuky APT verbunden sein könnte. Konkret schlagen Forscher zwei mögliche Szenarien vor, entweder ist UAT-5394 eine Untergruppe von Kimsuky beim Übergang von QuasarRAT zu MoonPeak. Alternativ könnte UAT-5394 eine eigenständige Gruppe sein, die absichtlich Kimsukys bösartige Muster nachahmt.
Die gesteigerte Raffinesse und die zunehmende Vielfalt an Werkzeugen, die von nordkoreanischen Schauspielern genutzt werden, erfordert proaktive Cyberverteidigung, um erfolgreich bösartige Absichten zu verhindern. Die Nutzung von SOC Primes Angriffsdetektiv hilft Sicherheitsteams, die ständig wachsende Angriffsfläche erheblich zu reduzieren, die Bedrohungssichtbarkeit zu erhöhen und blinde Flecken in der Cyberverteidigung zu beheben, Zugang zum priorisierten Erkennungsstack für hochpräzise Warnungen zu erhalten oder eine automatisierte Bedrohungsjagd-Kapazität zu übernehmen.
