Kuzey Kore’nin Siber Tehdidi, MoonPeak Zararlı Yazılımı ile Evrim Geçiriyor

Cisco Talos, “UAT-5394” adlı bir Kuzey Koreli hacker grubunun, malware’lerini test etmek ve kontrol etmek için çeşitli sunucular kullandığını belirledi. Yeni bir malware versiyonu olan “MoonPeak” üzerinde çalışıyorlar, bu malware daha önceki bir malware olan XenoRAT temel alınarak oluşturulmuştur.

Dün yayımlanan raporlarında, araştırmacılar MoonPeak’in, Ekim 2023 civarında GitHub üzerinde yayınlanan XenoRAT için kullanılan halka açık kaynak koduna dayandığını belirtmişlerdir.

MoonPeak, orijinal XenoRAT’ın birçok işlevini korurken, Cisco Talos’un analizi, tehdit aktörlerinin kodu açık kaynaklı sürümün ötesinde bağımsız bir şekilde değiştirdiklerini ve geliştirdiklerini gösteren tutarlı değişiklikler belirlemiştir.

MoonPeak, “Kimsuky” adlı bilinen bir Kuzey Kore grubu tarafından kullanılan zararlı yazılımla bazı benzerlikler paylaşsa da, Cisco Talos, aralarında doğrudan bir bağlantıyı doğrulamak için yeterli kanıta sahip olmadıklarını belirtmektedir.

Araştırmacılar, yeni zararlı yazılımın iki ana olasılığı ortaya koyduğunu öne sürüyor. İlk olarak, UAT-5394, Kimsuky veya eski zararlı yazılımlarını MoonPeak ile değiştiren Kimsuky’nin bir alt grubu olabilir.

Alternatif olarak, UAT-5394, Kimsuky’ye benzer teknikler ve altyapı kullanabilen farklı bir Kuzey Kore grubu olabilir.

Şimdilik, Cisco Talos, UAT-5394’ü Kimsuky ile bağlantılarını kanıtlamak ya da onları Kuzey Kore’nin hackleme operasyonları içindeki benzersiz bir grup olarak doğrulamak için daha fazla kanıt sahibi olana kadar ayrı bir grup olarak ele almaya karar verdi.

Cisco Talos’un araştırmacıları ayrıca grubun MoonPeak’i test etmek ve güncellemek için özel sunucular kullandığını da ortaya çıkardı. Cisco Talos, grubun bu sunucuları zararlı yazılımı indirmek ve kontrol etmek için kullandığını ve genellikle bu sunuculara zararlı yazılımlarını yönetmek ve güncellemek için VPN’ler aracılığıyla erişim sağladıklarını belirtiyor.

Ayrıca, Siber Güvenlik Haberleri (CN) XenoRAT zararlı yazılımının yaratıcıları tarafından birkaç değişikliğe uğradığını bildiriyor, bu değişiklikler arasında müşteri ad alanında, iletişim protokolünde ve gizleme tekniklerinde değişiklikler bulunuyor.

Bu güncellemeler, kaçınma taktiklerini geliştirmeyi ve istenmeyen müşterilerin komut ve kontrol (C2) altyapısıyla etkileşimini önlemeyi amaçlamaktadır.

The Cyber Express (TCE) tarafından belirtilene göre, araştırmacılar 2024 Haziran’ında aktörün taktiklerinde önemli bir değişiklik kaydettiler. Artık kendilerine ait ve kontrol ettikleri sistemler ve sunucularda kötü amaçlı yükler barındırarak, meşru bulut depolama sağlayıcılarını kullanmaktan vazgeçtiler.

TCE, bu hamlenin muhtemelen işlemlerini bulut hizmet sağlayıcıları tarafından olası kapanışlardan korumayı hedeflediğini öne sürüyor.

Son olarak, CN bu değişikliklerin hızlı temposunun, grupların kampanyalarını hızla genişletme ve daha fazla bırakma noktası ve C2 sunucusu kurma çabalarını yansıttığını belirtiyor.