Détection du Cheval de Troie MoonPeak : des Hackers Nord-Coréens Déploient un nouveau RAT lors de leur Dernière Campagne Malveillante
Table des matières :
Au premier semestre de 2024, les adversaires affiliés à la Corée du Nord ont considérablement intensifié leurs activités, élargissant à la fois leurs outils malveillants et la gamme de cibles. Les experts en sécurité ont observé une augmentation notable des attaques sur la chaîne d’approvisionnement et des installateurs de logiciels trojanisés, soulignant une tendance croissante parmi les groupes soutenus par l’État nord-coréen. Récemment, les professionnels de la sécurité ont découvert un tout nouvel échantillon de malwares ajouté à l’arsenal. Ce Trojan d’accès à distance avancé (RAT) est censé être opéré par un réseau nord-coréen d’acteurs de menace avec des liens possibles avec le tristement célèbre Kimsuky groupe.
Détecter le cheval de Troie MoonPeak Déployé par les Hackers Nord-Coréens
La boîte à outils offensive en constante évolution des collectifs de piratage nord-coréens nécessite une ultra-réactivité de la part des défenseurs cyber. La dernière addition à la trousse d’outils malveillants, le trojan MoonPeak, souligne la nécessité de défenses proactives. L’équipe SOC Prime propose une règle Sigma associée aidant à détecter les méthodes .net suspectes utilisées à des fins offensives.
Appeler des Méthodes .NET Suspectes depuis Powershell (via powershell)
En outre, les professionnels de la sécurité à la recherche de contenu de détection spécifique lié aux APT nord-coréens Kimsuky (montrant un chevauchement significatif des TTP avec les opérateurs de MoonPeak) peuvent accéder à une large collection de règles Sigma en appuyant sur le Explorer les détections bouton ci-dessous.
Tous les algorithmes de détection sont mappés au cadre MITRE ATT&CK® et automatiquement convertibles aux technologies leaders de l’industrie comme SIEM, EDR, et Data Lake pour une détection des menaces inter-plateformes sans faille.
Analyse du Malware MoonPeak
Une récente recherche par Cisco Talos éclaire le RAT MoonPeak récemment découvert, activement utilisé par les adversaires nord-coréens lors de leur dernière campagne malveillante. Les experts en sécurité suivent le groupe derrière MoonPeak, désigné comme UAT-5394, qui montre des similitudes claires dans les TTP malveillantes avec le tristement célèbre Kimsuky APT.
En fait, MoonPeak est une version personnalisée du malware open-source Xeno RAT de plus en plus utilisé par les attaquants lors de campagnes de phishing conçues pour récupérer la charge malveillante à partir de différents services cloud comme Dropbox et Google Drive. Xeno RAT présente une gamme de capacités malveillantes, y compris le chargement de plugins supplémentaires, le lancement et l’arrêt de processus, et la communication avec un serveur C2. Ces fonctionnalités ont été efficacement héritées par MoonPeak dans la dernière version du Trojan.
Les chercheurs en sécurité notent également que les opérateurs de malwares derrière MoonPeak étendent et ajustent constamment les capacités du malware. Cisco Talos souligne en fait que les adversaires ont mis en place une nouvelle infrastructure, y compris des serveurs C2, des hébergements et des machines virtuelles de test pour poursuivre la campagne malveillante avec MoonPeak en son cœur.
Dans plusieurs cas, l’acteur de la menace a accédé à des serveurs existants pour mettre à jour les charges et récupérer les journaux des infections MoonPeak. Ce passage du stockage cloud légitime à leurs propres serveurs s’aligne avec l’évolution continue de MoonPeak, où chaque nouvelle version introduit un obfuscation renforcée et des mécanismes de communication modifiés pour échapper à la détection.
Comme les campagnes MoonPeak et Xeno RAT partagent de nombreuses similitudes en termes de tactiques, techniques et procédures (TTP), les experts en sécurité soupçonnent que le cluster UAT-5394 pourrait être lié à l’APT Kimsuky. Plus précisément, les chercheurs proposent deux scénarios possibles, soit UAT-5394 est un sous-groupe de Kimsuky passant de QuasarRAT à MoonPeak. Alternativement, UAT-5394 pourrait être un groupe distinct imitant intentionnellement les schémas malveillants de Kimsuky.
La sophistication accrue et la variété croissante des outils appliqués par les acteurs affiliés à la Corée du Nord alimentent la nécessité d’une défense cyber proactive pour prévenir avec succès les intentions malveillantes. Exploiter Attack Detective de SOC Prime aide les équipes de sécurité à réduire considérablement la surface d’attaque en constante augmentation, à élever la visibilité des menaces et à résoudre les angles morts de la défense cyber, à accéder à la pile de détection priorisée pour des alertes de haute fidélité, ou à adopter une capacité de chasse aux menaces automatisée.
