문피크 트로잔 탐지: 북한 해커, 최신 악성 캠페인에서 새로운 RAT 배포
목차:
2024년 상반기에 북한과 연계된 적대 세력들이 그들의 활동을 크게 강화하여, 악성 도구 세트와 공격 대상 범위를 모두 확장했습니다. 보안 전문가들은 공급망 공격과 트로이 목마화된 소프트웨어 설치 프로그램의 눈에 띄는 증가를 관찰하여, 북한 국가 후원 그룹 사이의 성장하는 트렌드를 강조했습니다. 최근, 보안 전문가들은 새로운 악성코드 샘플이 무기에 추가되는 것을 발견했습니다. 이 고급 원격 접근 트로이 목마(RAT)는 악명 높은 Kimsuky 그룹과의 관련성을 가질 수 있는 북한 위협 행위자 네트워크에 의해 운영되고 있다고 믿어집니다. 그룹.
북한 해커들이 배포한 MoonPeak 트로이 목마 탐지
북한 해킹 집단들의 계속 진화하는 공격 도구 세트는 사이버 방어자들의 초고속 대응을 필요로 합니다. 최신 악성 도구 세트에 추가된 MoonPeak 트로이 목마는 선제적 방어의 필요성을 강조합니다. SOC Prime 팀은 공격 목적을 위한 의심스러운 .net 메서드를 탐지하는 데 도움이 되는 관련 Sigma 규칙을 큐레이션합니다.
Powershell을 통한 의심스러운 .NET 메서드 호출 (via powershell)
또한, MoonPeak 운영자와 중대한 TTP 오버랩을 보여주는 북한 Kimsuky APT와 관련된 큐레이션된 탐지 콘텐츠를 찾고 있는 보안 전문가들이 탐지 탐색 버튼을 아래에서 누르면 광범위한 Sigma 규칙 컬렉션에 접근할 수 있습니다.
모든 탐지 알고리즘은 MITRE ATT&CK® 프레임워크 에 매핑되고, 원활한 크로스 플랫폼 위협 탐지를 위해 업계 선도적인 SIEM, EDR, Data Lake 기술로 자동 변환됩니다.
MoonPeak 악성코드 분석
최근 Cisco Talos의 연구 는 최근 발견된 MoonPeak RAT가 북한 적대 세력에 의해 그들의 최신 악성 캠페인에서 적극적으로 활용되는 것에 대해 조명하고 있습니다. 보안 전문가들은 MoonPeak 뒤에 있는 그룹을 UAT-5394로 추적하고 있으며, 이는 악명 높은 Kimsuky APT와 유사한 악성 TTP를 보입니다.
사실, MoonPeak는 오픈 소스 Xeno RAT 악성코드의 사용자 정의 버전으로, Dropbox 및 Google Drive와 같은 다른 클라우드 서비스에서 악성 페이로드를 수집하기 위해 설계된 피싱 캠페인 동안 공격자들에 의해 점점 더 많이 사용됩니다. Xeno RAT는 추가 플러그인을 로드하고, 프로세스를 시작 및 종료하며, C2 서버와 통신하는 등 다양한 악성 기능을 자랑합니다. 이러한 기능은 MoonPeak의 최신 트로이 목마 버전에 효과적으로 계승되었습니다.
보안 연구원들은 또한 MoonPeak 뒤에 있는 악성코드 운영자들이 지속적으로 악성코드 기능을 확장하고 조정하고 있음을 지적합니다. Ciso Talos는 실제로 적대 세력들이 새로운 인프라, 즉 C2 서버, 호스팅 및 테스트 가상 머신을 설정하여 악의적 캠페인을 진행하고 있음을 강조합니다.
여러 사례에서, 위협 행위자는 기존 서버에 접근하여 페이로드를 업데이트하고 MoonPeak 감염에서 로그를 수집했습니다. 합법적인 클라우드 스토리지에서 자체 서버로의 이 전환은 MoonPeak의 지속적인 진화와 일치하며, 새로운 버전은 탐지를 피하기 위해 향상된 난독화 및 변경된 통신 메커니즘을 도입합니다.
MoonPeak와 Xeno RAT 캠페인은 전술, 기술, 절차(TTP)에 많은 유사점을 공유하고 있으므로, 보안 전문가들은 UAT-5394 클러스터가 Kimsuky APT와 연결되어 있을 가능성을 의심합니다. 구체적으로, 연구자들은 두 가지 가능한 시나리오를 제안합니다: UAT-5394가 QuasarRAT에서 MoonPeak로 전환 중인 Kimsuky의 하위 그룹이거나, UAT-5394가 의도적으로 Kimsuky의 악성 패턴을 모방하는 별도의 그룹일 수 있습니다. to MoonPeak. Alternatively, UAT-5394 might be a separate group intentionally mimicking Kimsuky’s malicious patterns.
북한과 연계된 행위자들에 의해 적용되는 도구의 향상된 정교성과 다양성이 악의적 의도를 성공적으로 방지하기 위한 선제적 사이버 방어의 필요성을 촉진합니다. SOC Prime의 Attack Detective 는 보안 팀이 급속히 증가하는 공격 표면을 크게 줄이고, 위협 가시성을 높이며, 사이버 방어의 맹점을 해결하고, 고충실도 경고를 위한 우선순위 탐지 스택에 접근하거나, 자동화된 위협 사냥 기능을 채택할 수 있도록 도와줍니다.
