2024-8-23 15:12| 发布者: 西瓜太郎| 查看: 158| 评论: 0|原作者: Ravie Lakshmanan|来自: The Hacker News
思科Talos将恶意网络活动归因于其追踪的一个黑客组织UAT-5394,该组织表示,该组织与代号为Kimsuky的某民族国家行为者存在一定程度的战术重叠。 威胁者正在积极开发的MoonPeak是开源Xeno RAT恶意软件的变体,该恶意软件以前是作为钓鱼攻击的一部分部署的,旨在从Dropbox、Google Drive和Microsoft OneDrive等行为者控制的云服务中检索有效载荷。 Xeno RAT的一些关键功能包括加载其他插件、启动和终止进程以及与命令和控制(C2)服务器通信的能力。 Talos表示,这两个入侵集之间的共性要么表明UAT-5394实际上是Kimsuky(或其子组),要么表明它是朝鲜网络设备中的另一个黑客团队,从Kimsuky那里借用了工具箱。 实现这场战役的关键是使用新的基础设施,包括C2服务器、有效载荷托管站点和测试虚拟机,这些基础设施是为了产生MoonPeak的新迭代而创建的。 Talos研究人员Asheer Malhotra、Guilherme Venere和Vitor Ventura在周三的一份分析中表示:“C2服务器托管恶意工件供下载,然后用于访问和设置新的基础设施以支持这一活动。”。 “在多个实例中,我们还观察到威胁行为者访问现有服务器以更新其有效载荷,并检索从MoonPeak感染中收集的日志和信息。” 这一转变被视为从使用合法的云存储提供商到建立自己的服务器的更广泛转变的一部分。也就是说,目前尚不清楚这场运动的目标。 这里需要注意的一个重要方面是,“MoonPeak的不断发展与威胁行为者建立的新基础设施齐头并进”,并且恶意软件的每个新版本都引入了更多的混淆技术,以阻止对整体通信机制的分析和更改,从而防止未经授权的连接。 研究人员指出:“简而言之,威胁行为者确保MoonPeak的特定变体只适用于C2服务器的特定变体。”。 “根据新恶意软件及其演变一致的时间表,如MoonPeak的情况,突显出UAT-5394继续在其武器库中添加和增强更多工具。UAT-5399建立新的支持基础设施的快速步伐表明,该组织的目标是迅速扩大这一活动,并建立更多的投放点和指挥控制服务器。” |
