Detección del Troyano MoonPeak: Hackers Norcoreanos Despliegan Nuevo RAT Durante su Última Campaña Maliciosa
Tabla de contenidos:
En la primera mitad de 2024, los adversarios afiliados a Corea del Norte han incrementado significativamente sus actividades, ampliando tanto sus conjuntos de herramientas maliciosas como su rango de objetivos. Los expertos en seguridad han observado un notable aumento en los ataques a la cadena de suministro y en los instaladores de software troyanizados, destacando una tendencia creciente entre los grupos patrocinados por el estado norcoreano. Recientemente, los profesionales de la seguridad descubrieron una nueva muestra de malware que se ha añadido al arsenal. Se cree que este avanzado troyano de acceso remoto (RAT) es operado por un nexo de actores de amenaza norcoreanos con posibles vínculos con el notorio grupo Kimsuky. group.
Detectar MoonPeak Trojan Desplegado por Hackers Norcoreanos
El kit de herramientas ofensivas en evolución continua de los colectivos de hacking norcoreanos requiere una ultra-responsabilidad por parte de los defensores cibernéticos. La última adición al kit de herramientas maliciosas, el MoonPeak Trojan, subraya la necesidad de defensas proactivas. El equipo de SOC Prime cura una regla Sigma relacionada que ayuda a detectar métodos .net sospechosos que se utilizan con fines ofensivos.
Llamar Métodos .NET Sospechosos desde Powershell (a través de Powershell)
Además, los profesionales de la seguridad que buscan contenido de detección curado vinculado al Kimsuky APT norcoreano (que muestra un solapamiento significativo de TTP con los operadores de MoonPeak) pueden acceder a una amplia colección de reglas Sigma presionando el botón Explorar Detecciones a continuación.
Todos los algoritmos de detección están mapeados al marco MITRE ATT&CK® y son automáticamente convertibles a las tecnologías líderes de SIEM, EDR y Data Lake de la industria para una detección de amenazas multiplataforma fluida.
Análisis de Malware MoonPeak
Una investigación reciente de Cisco Talos arroja luz sobre el recientemente descubierto MoonPeak RAT que es aprovechado activamente por adversarios norcoreanos durante su última campaña maliciosa. Los expertos en seguridad están rastreando el grupo detrás de MoonPeak, designado como UAT-5394, que exhibe claras similitudes en TTP maliciosos con el notorio Kimsuky APT.
De hecho, MoonPeak es una versión personalizada del malware Xeno RAT de código abierto que es utilizado cada vez más por los atacantes durante campañas de phishing diseñadas para recuperar la carga maliciosa de diferentes servicios en la nube como Dropbox y Google Drive. Xeno RAT cuenta con una gama de capacidades maliciosas, incluyendo la carga de complementos adicionales, el lanzamiento y la terminación de procesos, y la comunicación con un servidor C2. Estas características han sido efectivamente heredadas por MoonPeak en la última iteración del troyano.
Los investigadores de seguridad también señalan que los operadores de malware detrás de MoonPeak están constantemente expandiendo y ajustando las capacidades del malware. Cisco Talos de hecho señala que los adversarios establecen la nueva infraestructura, incluyendo servidores C2, hostings, y máquinas virtuales de prueba para proceder con la campaña maliciosa con MoonPeak en su núcleo.
En varias instancias, el actor de amenaza accedió a servidores existentes para actualizar cargas útiles y recuperar registros de infecciones de MoonPeak. Este cambio del almacenamiento en la nube legítimo a sus propios servidores se alinea con la evolución continua de MoonPeak, donde cada nueva versión introduce una mayor ofuscación y mecanismos de comunicación alterados para evadir la detección.
Dado que las campañas de MoonPeak y Xeno RAT comparten muchas similitudes en tácticas, técnicas y procedimientos (TTP), los expertos en seguridad sospechan que el grupo UAT-5394 podría estar vinculado a Kimsuky APT. Específicamente, los investigadores sugieren dos posibles escenarios, ya sea que UAT-5394 sea un subgrupo de Kimsuky en transición de QuasarRAT a MoonPeak. Alternativamente, UAT-5394 podría ser un grupo separado que imita intencionalmente los patrones maliciosos de Kimsuky.
La sofisticación mejorada y la mayor variedad de herramientas aplicadas por los actores afiliados a Corea del Norte impulsan la necesidad de una defensa cibernética proactiva para anticiparse exitosamente a las intenciones maliciosas. Aprovechar el Detective de Ataques de SOC Prime ayuda a los equipos de seguridad a reducir significativamente la superficie de ataque en constante crecimiento, elevar la visibilidad de amenazas y abordar los puntos ciegos de defensa cibernética, obtener acceso a la pila de detección priorizada para alertas de alta fidelidad, o adoptar una capacidad automatizada de caza de amenazas.
