MoonPeakトロイの木馬検出：北朝鮮ハッカーが最新の悪意あるキャンペーンで新型RATを配備

2024年上半期に、北朝鮮に関連する敵対勢力は、マルウェアツールセットと標的範囲の両方を拡大し活動を大幅に強化しました。セキュリティ専門家は、サプライチェーン攻撃やトロイの木馬化されたソフトウェアインストーラーの顕著な増加を観察しており、北朝鮮の国家支援グループの増加傾向を強調しています。最近、セキュリティ専門家は新たに追加されたマルウェアサンプルを発見しました。この高度なリモートアクセス型トロイの木馬（RAT）は、悪名高い Kimsuky グループとの可能性のあるつながりを持つ北朝鮮の脅威アクターに関連していると考えられています。

北朝鮮ハッカーによるMoonPeakトロイの木馬を検出

北朝鮮のハッキング集団の絶えず進化する攻撃ツールキットは、サイバー防御者に超高応答性を必要とします。悪意のあるツールキットへの最新の追加品であるMoonPeakトロイの木馬は、積極的防御の必要性を強調しています。SOC Primeチームは、攻撃目的で使用される不審な.NETメソッドを検出するのに役立つ関連するシグマルールをキュレーションしました。

PowerShellから不審な.NETメソッドを呼び出す (via powershell)

さらに、MoonPeakオペレーターと重大なTTPの重複を示す北朝鮮Kimsuky APTに関連するキュレーションされた検出コンテンツを検索しているセキュリティプロフェッショナルは、シグマルールの広範なコレクションにアクセスすることができます。 検出を探索する ボタンを以下に押してください。

検出を探索する

すべての検出アルゴリズムは MITRE ATT&CK®フレームワーク にマッピングされ、業界をリードするSIEM、EDR、データレイク技術に自動的に変換され、シームレスなクロスプラットフォームの脅威検出が可能です。

MoonPeakマルウェア分析

最近の Cisco Talosの研究 は、北朝鮮の敵対者が最近の悪意あるキャンペーンで積極的に利用している最近発見されたMoonPeak RATについての光を当てています。セキュリティ専門家は、UAT-5394 と呼ばれるMoonPeakの背後にいるグループを追跡しており、悪名高いKimsuky APTと明確な類似性を示しています。

事実、MoonPeakは、DropboxやGoogle Driveなどの異なるクラウドサービスから悪意のあるペイロードを取得するために設計されたフィッシングキャンペーン中に攻撃者がますます使用しているオープンソースのXeno RATマルウェアのカスタムバージョンです。Xeno RATは、追加プラグインの読み込み、プロセスの開始と終了、C2サーバーとの通信を含む一連の悪意のある機能を誇っています。これらの機能はトロイの木馬の最新バージョンのMoonPeakによって効果的に受け継がれています。

セキュリティ研究者も、MoonPeakの背後にいるマルウェアオペレーターがマルウェアの機能を絶えず拡張し調整していると指摘しています。Cisco Talosは、敵対者が新しいインフラストラクチャ、C2サーバー、ホスティング、テスト用の仮想マシンを設定してMoonPeakを中心とした悪意あるキャンペーンを進めていることを実際に指摘しています。

いくつかのケースでは、脅威アクターが既存のサーバーにアクセスしてペイロードを更新し、MoonPeak感染からログを取得しました。正当なクラウドストレージから独自のサーバーへのこのシフトは、検出を回避するために新しいバージョンごとに強化された難読化と変更された通信メカニズムを導入するMoonPeakの進化を反映しています。

MoonPeakとXeno RATのキャンペーンが戦術、技術、手順（TTP）に多くの類似点を共有しているため、セキュリティ専門家はUAT-5394クラスターがKimsuky APTに関連している可能性があると疑っています。具体的には、研究者は2つの可能性のあるシナリオを示唆しており、UAT-5394がQuasarRATから MoonPeak へ移行中のKimsukyのサブグループである可能性があります。あるいは、UAT-5394は意図的にKimsukyの悪意のあるパターンを模倣する独立したグループかもしれません。

北朝鮮に関連するアクターによって適用されるツールの高度化や多様化の強化は、悪意ある意図を事前に防ぐための積極的なサイバー防御の必要性を促進しています。 SOC PrimeのAttack Detective を活用することで、セキュリティチームは急増する攻撃面を大幅に削減し、脅威の可視性を高めてサイバー防御の盲点を解消し、優先された検出スタックへのアクセスを取得して高精度アラートを取得したり、自動化された脅威ハンティング機能を採用することができます。