Rilevamento del Trojan MoonPeak: hacker della Corea del Nord distribuiscono un nuovo RAT durante la loro ultima campagna malevola
Indice:
Nella prima metà del 2024, gli avversari affiliati alla Corea del Nord hanno significativamente intensificato le loro attività , ampliando sia i loro set di strumenti malevoli che la gamma di obiettivi. Gli esperti di sicurezza hanno osservato un notevole aumento degli attacchi alla supply chain e degli installer di software trojanizzati, sottolineando una crescente tendenza tra i gruppi sponsorizzati dallo stato nordcoreano. Recentemente, i professionisti della sicurezza hanno scoperto un nuovo campione di malware aggiunto all’arsenale. Si ritiene che questo Trojan avanzato per accesso remoto (RAT) sia operato da un gruppo di attori di minaccia legato alla Corea del Nord con possibili legami con il noto gruppo Kimsuky .
Rileva il Trojan MoonPeak Distribuito dagli Hacker Nordcoreani
Il toolkit offensivo in continua evoluzione delle collettive hacking nordcoreane richiede un’estrema reattività dai difensori informatici. L’ultima aggiunta al toolkit malevolo, il Trojan MoonPeak, sottolinea la necessità di difese proattive. Il team di SOC Prime organizza una regola Sigma correlata che aiuta a rilevare metodi .net sospetti utilizzati per scopi offensivi.
Chiama Metodi .NET Sospetti da Powershell (via powershell)
Inoltre, i professionisti della sicurezza alla ricerca di contenuti di rilevamento curati collegati all’APT nordcoreano Kimsuky (mostrando la significativa sovrapposizione di TTP con gli operatori MoonPeak) possono accedere a un’ampia raccolta di regole Sigma premendo il pulsante Esplora Rilevamenti qui sotto.
Tutti gli algoritmi di rilevamento sono mappati al framework MITRE ATT&CK® e automaticamente convertibili alle tecnologie leader di settore SIEM, EDR e Data Lake per un rilevamento delle minacce senza interruzioni su più piattaforme.
Analisi del Malware MoonPeak
Una recente ricerca di Cisco Talos accende i riflettori sul RAT MoonPeak recentemente scoperto e attivamente utilizzato dagli avversari nordcoreani durante la loro ultima campagna malevola. Gli esperti di sicurezza stanno monitorando il gruppo dietro MoonPeak, designato come UAT-5394, che esibisce chiare somiglianze nei TTP malevoli con il famoso APT Kimsuky.
Infatti, MoonPeak è una versione personalizzata del malware open-source Xeno RAT sempre più usato dagli attaccanti durante campagne di phishing progettate per recuperare il payload malevolo da diversi servizi cloud come Dropbox e Google Drive. Xeno RAT vanta una serie di capacità malevoli, tra cui il caricamento di plugin aggiuntivi, l’avvio e la terminazione di processi, e la comunicazione con un server C2. Queste funzionalità sono state ereditate efficacemente da MoonPeak nell’ultima iterazione del Trojan.
I ricercatori di sicurezza notano anche che gli operatori del malware dietro a MoonPeak stanno costantemente espandendo e affinando le capacità del malware. Ciso Talos infatti sottolinea che gli avversari hanno predisposto la nuova infrastruttura, inclusi server C2, hosting e macchine virtuali di test, per procedere con la campagna malevola con MoonPeak al suo centro.
In diversi casi, l’attore della minaccia ha avuto accesso a server esistenti per aggiornare i payload e recuperare i log dalle infezioni di MoonPeak. Questo cambiamento dall’archiviazione cloud legittima ai propri server si allinea con l’evoluzione continua di MoonPeak, dove ogni nuova versione introduce un’obfuscation avanzata e meccanismi di comunicazione alterati per eludere il rilevamento.
Poiché le campagne di MoonPeak e Xeno RAT condividono molte somiglianze in tattiche, tecniche e procedure (TTP), gli esperti di sicurezza sospettano che il cluster UAT-5394 possa essere collegato all’APT Kimsuky. In particolare, i ricercatori suggeriscono due possibili scenari, o l’UAT-5394 è un sottogruppo di Kimsuky che transita da QuasarRAT a MoonPeak. In alternativa, l’UAT-5394 potrebbe essere un gruppo separato che imita intenzionalmente i modelli malevoli di Kimsuky.
Il potenziamento della sofisticazione e l’aumento della varietà di strumenti applicati dagli attori affiliati alla Corea del Nord alimentano la necessità di una difesa informatica proattiva per pre-emptare con successo le intenzioni malevole. Sfruttare l’Attack Detective di SOC Prime aiuta i team di sicurezza a ridurre significativamente la superficie di attacco in costante crescita, migliorare la visibilità delle minacce e affrontare i punti ciechi della difesa informatica, ottenere accesso allo stack di rilevamento prioritario per un’allerta ad alta fedeltà , o adottare una capacità di caccia alle minacce automatizzata.
