North Korean Hackers Deploy New MoonPeak Trojan in Cyber Campaign
2024/08/21 TheHackerNews — MoonPeak という未知のリモート・アクセス型トロイの木馬が、新たなキャンペーンにおいて、国家支援の北朝鮮ハッカーにより使用されていることが発見された。Cisco Talos は、このキャンペーンは UAT-5394 として追跡しているハッキング・グループによるものであり、既知の APT である Kimsuky と、ある程度の戦術的重複が見られるとしている。
MoonPeak は、オープンソースである Xeno RAT マルウェアの亜種であり、以前においては、 攻撃者の管理下にある Dropbox/Google Drive/Microsoft OneDrive などのクラウド・サービスから、ペイロードを取得するように設計され、フィッシング攻撃の一部として展開されていた。
Xeno RAT の主な機能には、追加プラグインのロード/プロセスの起動と終了/C2 (command-and-control) サーバとの通信などがある。
Talos によると、MoonPeak と Xeno RAT の共通点から、UAT-5394 は Kimsuky 自身 (またはサブ・グループ) の可能性と、Kimsuky からツールボックスを借用している、北朝鮮のサイバー組織内の別のハッキング・クルーの可能性があるとされる。
このキャンペーンを実現するには、MoonPeak による新たな反復を生み出すために作成された、C2 サーバ/ペイロード・ホスティング・サイト/テスト用仮想マシンなどの、新たなインフラが必要になる。
Talos の研究者 Asheer Malhotra/Guilherme Venere/VitorVentura は、8月21日に公開された分析で、「彼らの C2 サーバは、悪意のアーティファクトをホストしてダウンロードさせる。つまり、このキャンペーンをサポートするための、新しいインフラにアクセスし、セットアップするために使用されている」と詳述している。
さらに Talos は、「複数の事例において、この脅威アクターが既存のサーバにアクセスしてペイロードを更新し、MoonPeak 感染者から収集したログなどの、情報を取得している様子も確認された」と述べている。
2024年6月以降において UAT-5394 は、正規のクラウド・ストレージ・プロバイダー上でホスティングしていた悪意のペイロードを、自身で所有/管理しているシステムおよびサーバへと移行した。この動きは、サービス・プロバイダーによるクラウド・ロケーションのシャットダウンの可能性から、感染のための悪意のインフラを守るためのものだと推測される。なお、このキャンペーンのターゲットは、現在のところ不明である。
ここで注目すべきは、MoonPeak の絶え間ない進化は、脅威アクターたちによりセットアップされた、新しいインフラと連動している点にある。それにより、マルウェアの新バージョンが出るたびに、分析を妨害するための難読化技術が導入され、通信メカニズム全体に対して、不都合な接続を防ぐための変更が加えられている。
研究者たちは、「脅威アクターたちは、MoonPeak の亜種に制限を加え、特定の C2 サーバとだけ連動するようにしている。MoonPeak のケースのような、新たなマルウェアの採用と進化のタイムラインから明らかになるのは、UAT-5394 の武器庫に大量のツールが追加され、強化され続けていることだ。UAT-5394 による支援インフラ構築の急速なペースは、このキャンペーンを急速に拡散させ、より多くのドロップ・ポイントと C2 サーバを設置することに、目標があることを示している」と指摘している。
このブログには、Kimsuky は何度か登場していますが、UAT-5394 はカバーしていませんでした。おそらく、Cisco Talos におけるコードであり、他の名前で登場していることがあるかもしれません。北朝鮮の脅威アクターが、また、パワーアップしたと捉えるべき実態を示してくれる、Talos のレポートですね。
IoT OT Security News 
You must be logged in to post a comment.