Detecção do Trojan MoonPeak: Hackers Norte-Coreanos Desdobram um Novo RAT Durante Sua Última Campanha Maliciosa
Índice:
Na primeira metade de 2024, adversários afiliados à Coreia do Norte aumentaram significativamente suas atividades, ampliando tanto seus conjuntos de ferramentas maliciosas quanto o alcance de seus alvos. Especialistas em segurança observaram um aumento notável em ataques à cadeia de suprimentos e instaladores de software trojanizados, destacando uma tendência crescente entre os grupos patrocinados pelo estado norte-coreano. Recentemente, profissionais de segurança descobriram uma nova amostra de malware sendo adicionada ao arsenal. Acredita-se que este avançado Trojan de acesso remoto (RAT) seja operado por um grupo de atores ameaçadores com possíveis ligações ao notório grupo Kimsuky .
Detectar o Trojan MoonPeak implantado por hackers norte-coreanos
O arsenal ofensivo em constante evolução dos coletivos de hackers norte-coreanos requer ultra-responsividade dos defensores cibernéticos. A mais recente adição ao conjunto de ferramentas maliciosas, o Trojan MoonPeak, destaca a necessidade de defesas proativas. A equipe da SOC Prime disponibiliza uma regra Sigma relacionada que ajuda a detectar métodos .net suspeitos usados para propósitos ofensivos.
Chamar Métodos .NET Suspeitos a partir do Powershell (via powershell)
Além disso, profissionais de segurança à procura de conteúdo de detecção selecionado vinculado ao APT Kimsuky norte-coreano (mostrando a sobreposição significativa de TTPs com operadores MoonPeak) podem acessar uma coleção abrangente de regras Sigma pressionando o botão Explorar Detecções abaixo.
Todos os algoritmos de detecção são mapeados para o framework MITRE ATT&CK® e automaticamente convertíveis para as principais tecnologias SIEM, EDR e Data Lake do setor para uma detecção de ameaças perfeita entre plataformas.
Análise de Malware MoonPeak
Uma pesquisa recente da Cisco Talos ilumina o recentemente descoberto RAT MoonPeak ativamente utilizado por adversários norte-coreanos durante sua última campanha maliciosa. Especialistas em segurança estão rastreando o grupo por trás do MoonPeak, designado como UAT-5394, que exibe claras semelhanças em TTPs maliciosos com o notório APT Kimsuky.
De fato, MoonPeak é uma versão personalizada do malware Xeno RAT de código aberto, cada vez mais utilizado por atacantes durante campanhas de phishing projetadas para recuperar a carga maliciosa de diferentes serviços de nuvem como Dropbox e Google Drive. O Xeno RAT possui uma gama de capacidades maliciosas, incluindo carregamento de plugins adicionais, lançamento e término de processos e comunicação com um servidor C2. Estas características foram efetivamente herdadas pelo MoonPeak na última iteração do Trojan.
Pesquisadores de segurança também observam que operadores de malware por trás do MoonPeak estão constantemente expandindo e ajustando as capacidades do malware. Cisco Talos aponta que adversários estabeleceram nova infraestrutura, incluindo servidores C2, hospedagens e máquinas virtuais de teste para prosseguir com a campanha maliciosa com MoonPeak no seu núcleo.
Em várias instâncias, o agente de ameaça acessou servidores existentes para atualizar cargas e recuperar logs de infecções pelo MoonPeak. Esta mudança do armazenamento em nuvem legítimo para seus próprios servidores alinha-se com a evolução contínua do MoonPeak, onde cada nova versão introduz obfuscação aprimorada e mecanismos de comunicação alterados para escapar da detecção.
Como as campanhas MoonPeak e Xeno RAT compartilham muitas semelhanças em táticas, técnicas e procedimentos (TTPs), especialistas em segurança suspeitam que o cluster UAT-5394 possa estar ligado ao APT Kimsuky. Especificamente, pesquisadores sugerem dois possíveis cenários: ou o UAT-5394 é um subgrupo do Kimsuky em transição do QuasarRAT para o MoonPeak. Alternativamente, o UAT-5394 pode ser um grupo separado imitando intencionalmente os padrões maliciosos do Kimsuky.
A maior sofisticação e variedade de ferramentas aplicadas por atores afiliados à Coreia do Norte alimentam a necessidade de defesa cibernética proativa para antecipar com sucesso intenções maliciosas. Aproveitar a Detecção de Ataques do SOC Prime ajuda as equipes de segurança a reduzir significativamente a superfície de ataque em constante crescimento, elevar a visibilidade de ameaças e abordar pontos cegos na defesa cibernética, obter acesso à pilha de detecção priorizada para alertas de alta fidelidade ou adotar uma capacidade de caça às ameaças automatizada.
