Kuzey Kore’nin kötü şöhretli Kimsuky grubuyla muhtemel bağlantıları olan bir tehdit aktörü, komuta ve kontrol (C2) sunucuları, sahneleme sistemleri ve test makinelerinden oluşan karmaşık bir altyapı kullanarak, açık kaynaklı XenoRAT bilgi çalma kötü amaçlı yazılımının yeni bir sürümünü dağıtıyor.
Cisco Talos araştırmacılarının yakın zamanda keşfettikleri ve MoonPeak olarak adlandırdıkları varyant, aktif olarak geliştiriliyor ve son birkaç aydır küçük artışlarla sürekli olarak evrim geçiriyor; bu da tespit ve tanımlamayı daha da zorlaştırıyor.
MoonPeak: Bir XenoRAT Varyantı
“MoonPeak orijinal XenoRAT’ın işlevlerinin çoğunu içerse de, analizimiz tüm varyantlarda tutarlı değişiklikler gözlemledi,” Cisco Talos araştırmacıları Asheer Malhotra, Guilherme Venere ve Vitor Venturs bu hafta bir blog yazısında şöyle dedi“Bu, tehdit aktörlerinin kodu açık kaynaklı sürümden bağımsız olarak değiştirdiğini ve geliştirdiğini gösteriyor” diye belirttiler.
XenoRAT açık kaynaklı bir kötü amaçlı yazılımdır Geçtiğimiz Ekim ayında GitHub’da ücretsiz olarak kullanıma sunulan C# ile kodlanmış bir yazılım. Trojan, tuş kaydı, Kullanıcı Erişim Kontrolü (UAC) atlama özellikleri ve bir tehdit aktörünün kurbanla aynı anda tehlikeye atılmış bir sistemi gizlice kullanmasına olanak tanıyan Gizli Sanal Ağ Bilgisayarı özelliği dahil olmak üzere birden fazla güçlü yetenek içeriyor.
Cisco Talos, “devlet destekli bir Kuzey Kore saldırısı” olarak tanımladığı bir şeyi gözlemledi tehdit aktörlerinin birleşme noktası“UAT-5394 olarak izlendi, bu yılın başlarında yapılan saldırılarda MoonPeak’i kullandı. Saldırganın taktikleri, teknikleri ve prosedürleri (TTP’ler) ve altyapısı Kimsuky grubuyla önemli ölçüde örtüşüyor, uzun zamandır casusluk faaliyetleriyle biliniyor özellikle nükleer silah araştırmaları ve politikaları olmak üzere birçok sektördeki kuruluşları hedef alıyor.
Çakışmalar Cisco Talos’un gözlemlediği UAT-5394 etkinlik kümesinin aslında Kimsuky’nin kendisi veya Kimsuky’nin altyapısını kullanan başka bir Kuzey Kore APT’si olduğu sonucuna varmasına yol açtı. Kesin kanıtların yokluğunda, güvenlik sağlayıcısı en azından şimdilik UAT-5394’ü bağımsız bir Kuzey Kore ileri kalıcı tehdit (APT) grubu olarak izlemeye karar verdi.
Sabit MoonPeak Değişiklikleri
Cisco Talos araştırmacılarına göre, MoonPeak analizleri saldırganların XenoRAT kodunda birçok değişiklik yaparken aynı zamanda çekirdek işlevlerinin çoğunu koruduğunu gösterdi. Cisco Talos, ilk değişikliklerden birinin, diğer XenoRAT varyantlarının bir MoonPeak sunucusuna bağlandığında çalışmamasını sağlamak için istemci ad alanını “xeno rat client”tan “cmdline”a değiştirmek olduğunu söyledi.
Blog yazısında, “Ad alanı değişikliği, haydut implantların altyapılarına bağlanmasını engelliyor ve ayrıca kendi implantlarının kullanıma hazır XenoRAT C2 sunucularına bağlanmasını engelliyor” denildi.
Kötü amaçlı yazılımı gizlemek ve analizi zorlaştırmak için başka değişiklikler de yapılmış gibi görünüyor. Bunlar arasında kötü amaçlı yazılımı eş zamanlı olmayan bir şekilde yürütmek için Durum Makineleri adı verilen bir hesaplama modelinin kullanılması da vardı; bu da program akışını daha az doğrusal ve dolayısıyla takip edilmesi daha zor hale getiriyordu. Bu nedenle, kötü amaçlı yazılımın tersine mühendisliğini yapma görevi daha zorlu ve zaman alıcı hale geliyor.
Kötü amaçlı yazılımın kendisinde yapılan değişikliklere ek olarak, Cisco Talos tehdit aktörünün altyapısında sürekli ayarlamalar yaptığını da gözlemledi. Bunlardan en dikkat çekeni, AhLabs’taki araştırmacıların UAT-5394’ün kullandığı daha önceki bir XenoRAT varyantı hakkında rapor vermesinden kısa bir süre sonra Haziran ayının başlarında gerçekleşti. Bu açıklama, tehdit aktörünü yüklerini barındırmak için genel bulut hizmetlerini kullanmayı bırakmaya ve bunun yerine bunları C2 için özel olarak sahip olunan ve kontrol edilen sistemlere taşımaya, kötü amaçlı yazılımını sahnelemeye ve test etmeye yöneltti.
Cisco Talos’un UAT-5394’ü kullandığını gözlemlediği sunuculardan en az ikisi başka kötü amaçlı yazılımlarla ilişkili görünüyordu. Bir örnekte, güvenlik satıcısı, Kimsuky grubuyla ilişkili bir kötü amaçlı yazılım aracı olan Quasar RAT için bilinen bir C2 sunucusuna bağlanan bir MoonPeak sunucusunu gözlemledi.
“MoonPeak örneklerinin analizi, tehdit aktörlerinin implant varyantlarını test makinelerine birkaç kez yerleştirmelerini gerektiren kötü amaçlı yazılımda ve ilgili C2 bileşenlerinde bir evrim olduğunu ortaya koyuyor,” dedi Cisco Talos araştırmacıları. Amaç, tespit ve tanımlamayı zorlaştırmak için yeterli değişiklikleri yapmak ve aynı zamanda belirli MoonPeak varyantlarının yalnızca belirli C2 sunucularıyla çalışmasını sağlamak gibi görünüyor.