تطور تهديد كوريا الشمالية الإلكتروني مع برنامج الفيروسات MoonPeak

لقد حددت Cisco Talos مجموعة قرصنة كورية شمالية تدعى “UAT-5394″، تستخدم مختلف الخوادم لاختبار والتحكم في برامجها الخبيثة. إنهم يعملون مع نسخة جديدة من البرامج الخبيثة تسمى “MoonPeak”، والتي تعتمد على برنامج خبيث أقدم يسمى XenoRAT.

في تقريرهم الذي نشروه أمس، ذكر الباحثون أن MoonPeak تعتمد على الرمز المصدري المتاح عليا لـ XenoRAT، الذي تم إصداره على GitHub حوالي أكتوبر 2023.

مع أن MoonPeak يحتفظ بالعديد من وظائف XenoRAT الأصلية، إلا أن تحليلات Cisco Talos قد حددت تغييرات متسقة عبر الإصدارات المختلفة، مما يشير إلى أن الجهات الفاعلة المهددة تعدل وتطور الرمز بشكل مستقل عن الإصدار المفتوح المصدر.

على الرغم من أن MoonPeak يشترك في بعض التشابهات مع البرمجيات الخبيثة التي تستخدمها مجموعة كورية شمالية معروفة تدعى “Kimsuky”، إلا أن Cisco Talos تؤكد أنه ليس لديها أدلة كافية لتأكيد وجود رابط مباشر بينهما.

تقترح الباحثات أن البرمجيات الخبيثة الجديدة تطرح احتمالين رئيسيين. أولاً، قد يكون UAT-5394 هو Kimsuky أو فرع فرعي من Kimsuky يقوم بتبديل برنامجه الخبيث القديم بـ MoonPeak.

بديلاً، قد يكون UAT-5394 مجموعة كورية شمالية مختلفة تستخدم تقنيات وبنية تحتية مشابهة لـ Kimsuky.

للآن، قررت Cisco Talos معاملة UAT-5394 كمجموعة منفصلة حتى يكون لديهم المزيد من الأدلة لربطها بـ Kimsuky أو تأكيد وجودها كمجموعة فريدة ضمن عمليات القرصنة في كوريا الشمالية.

كشف الباحثون في Cisco Talos أيضًا أن المجموعة تستخدم خوادم خاصة لاختبار وتحديث MoonPeak. تقترح Cisco Talos أن المجموعة تستخدم هذه الخوادم لتنزيل والتحكم في البرامج الخبيثة، وأنهم غالبًا ما يصلون إلى هذه الخوادم من خلال شبكات VPN لإدارة وتحديث برامجهم الخبيثة.

علاوة على ذلك، تقارير Cybersecurity News (CN) تفيد بأن برنامج XenoRAT الخبيث قد خضع للعديد من التعديلات من قبل مبتكريه، بما في ذلك التغييرات في الفضاء الاسمي للعميل، وبروتوكول الاتصال، وتقنيات التعتيم.

هذه التحديثات مصممة لتعزيز تقنيات التهرب ومنع العملاء غير المرغوب فيهم من التفاعل مع بنية الأمر والتحكم (C2).

وفقًا لـ The Cyber Express (TCE)، لاحظ الباحثون تغييرًا كبيرًا في تكتيكات الجاني في يونيو 2024. انتقلوا من استخدام موفري التخزين السحابي المشروع إلى استضافة الحمولات الخبيثة على الأنظمة والخوادم التي يمتلكونها ويتحكمون فيها الآن.

تقترح TCE أن هذه الخطوة كانت على الأرجح تهدف إلى حماية عملياتهم من إغلاقات محتملة من قبل موفري الخدمة السحابية.

أخيرًا، تشير CN إلى أن السرعة الكبيرة لهذه التغييرات تعكس جهود الفريق لتوسيع حملتهم بسرعة مع تعيين المزيد من نقاط الإنزال وخوادم C2.