새로운 원격 액세스 트로이 목마는 다음과 같습니다. 문피크 새로운 캠페인의 일환으로 국가가 지원하는 북한의 위협 활동 클러스터에서 사용되고 있는 것으로 밝혀졌습니다.
Cisco Talos는 이 악의적인 사이버 캠페인을 UAT-5394로 추적하는 해킹 그룹의 소행이라고 밝혔으며, 이 그룹은 Kimsuky라는 코드명의 알려진 국가 기반 공격자와 어느 정도 전술적 중복이 있는 것으로 나타났습니다.
위협 행위자가 적극적으로 개발하고 있는 MoonPeak는 오픈소스 Xeno RAT 맬웨어의 변종으로, 이전에는 Dropbox, Google Drive, Microsoft OneDrive와 같은 행위자가 제어하는 클라우드 서비스에서 페이로드를 검색하도록 설계된 피싱 공격의 일부로 배포되었습니다.
Xeno RAT의 주요 기능으로는 추가 플러그인을 로드하고, 프로세스를 시작 및 종료하고, 명령 및 제어(C2) 서버와 통신하는 기능이 있습니다.
Talos는 두 침입 세트의 공통점은 UAT-5394가 실제로 Kimsuky(또는 그 하위 그룹)이거나 Kimsuky의 도구를 빌린 북한 사이버 장치 내의 또 다른 해킹 집단일 수 있다고 말했습니다.
캠페인을 실현하는 데 중요한 것은 C2 서버, 페이로드 호스팅 사이트, 테스트 가상 머신을 비롯한 새로운 인프라를 활용하는 것입니다. 이러한 인프라는 MoonPeak의 새로운 버전을 생성하는 데 사용되었습니다.
Talos 연구원인 Asheer Malhotra, Guilherme Venere, Vitor Ventura는 수요일 분석에서 “C2 서버는 다운로드를 위한 악성 아티팩트를 호스팅한 다음 이를 사용하여 이 캠페인을 지원하는 새로운 인프라에 액세스하고 이를 설정합니다.”라고 밝혔습니다.
“여러 사례에서 위협 행위자가 기존 서버에 액세스하여 페이로드를 업데이트하고 MoonPeak 감염에서 수집된 로그와 정보를 검색하는 것도 관찰했습니다.”
이 변화는 합법적인 클라우드 스토리지 공급업체를 사용하는 것에서 자체 서버를 설정하는 것으로의 더 광범위한 전환의 일부로 여겨진다. 그러나 캠페인의 대상은 현재 알려지지 않았다.
여기서 주목해야 할 중요한 측면은 “MoonPeak의 지속적인 진화는 위협 행위자들이 구축한 새로운 인프라와 함께 이루어진다”는 점과 맬웨어의 각각의 새로운 버전은 분석을 방해하기 위해 더 많은 난독화 기술을 도입하고 무단 연결을 방지하기 위해 전반적인 통신 메커니즘을 변경한다는 점입니다.
“간단히 말해, 위협 행위자들은 MoonPeak의 특정 변종이 C2 서버의 특정 변종에서만 작동하도록 했습니다.”라고 연구원들은 지적했습니다.
“MoonPeak의 경우와 같이 새로운 맬웨어의 지속적인 채택과 진화의 타임라인은 UAT-5394가 무기고에 더 많은 툴을 추가하고 개선하고 있음을 강조합니다. UAT-5394가 새로운 지원 인프라를 구축하는 속도가 빠른 것은 이 그룹이 이 캠페인을 빠르게 확산하고 더 많은 드롭 포인트와 C2 서버를 설정하려는 것을 나타냅니다.”