Araştırmacılar, Kuzey Koreli bir tehdit aktörü kümesi olan ‘UAT-5394’ tarafından aktif olarak geliştirilen ‘MoonPeak’ adlı yeni bir uzaktan erişim trojan (RAT) ailesini ortaya çıkardı. Araştırmacıların tehdit aktörünün altyapısına yönelik analizi, kötü amaçlı yazılımı geliştirmek ve dağıtmak için kullanılan karmaşık bir komuta ve kontrol (C2) sunucuları, hazırlama sunucuları ve test makineleri ağı ortaya koyuyor.
Kuzey Kore APT UAT-5394’ün Altyapısının Haritalanması
Talos’un araştırması, UAT-5394 tarafından sahip olunan, işletilen ve yönetilen çok sayıda sunucunun keşfedilmesine yol açtı. Bu altyapı, C2 sunucuları, yük barındırma siteleri ve dağıtımdan önce MoonPeak implantlarını test etmek için kullanılan sanal makineleri içerir.
Araştırmacılar, Haziran 2024’te aktörün taktiklerinde belirgin bir değişim gözlemlediler, kötü amaçlı yükleri meşru bulut depolama sağlayıcılarında barındırmaktan artık sahip oldukları ve kontrol ettikleri sistemlere ve sunuculara geçtiler. Bu muhtemelen bulut hizmeti sağlayıcıları tarafından potansiyel kapatmalardan enfeksiyonlarını korumak için yapıldı.
Kampanya, MoonPeak implantlarını potansiyel hedeflere dağıtmadan önce test etmek için birden fazla C2 sunucusu, yük barındırma sitesi ve test sanal makinelerinin kullanımını içeriyordu. Tehdit aktörlerinin ayrıca altyapılarına VPN düğümlerinden eriştikleri gözlemlendi ve bu da uyum sağlama ve evrimleşme yeteneklerini vurguladı.
UAT-5394’ün altyapısındaki bir diğer önemli sunucu, iki aydan kısa bir süre içinde işletim sistemlerini ve web sunucularını birden fazla kez değiştirdiği gözlemlenen yüksek akışlı bir sunucu olan 167.88.173.173’tü. Bu sunucu başlangıçta Rus FSB ile ilişkili olduğu iddia edilen bir tehdit grubu olan Gamaredon APT’ye bağlıyken, araştırmacının analizi Haziran sonu ve Temmuz 2024 başında araştırmacıların IP’nin UAT-5394’ün kontrolü altında olduğunu yüksek bir güvenle değerlendirdiği bir zaman aralığı buldu.
Bu dönemde sunucu Windows Server 2022 çalıştırıyordu ve UAT-5394 tarafından MoonPeak v2 kötü amaçlı yazılım örneklerini derlemek için kullanıldı ve 9966 numaralı portunu C2 sunucusu olarak işaret etti. Araştırmacılar ayrıca 45.87.153.79 ve 45.95.11.52 numaralı iki IP adresinin bu sunucuya 9936 ve 9966 numaralı portlar üzerinden eriştiğini gözlemlediler – MoonPeak kötü amaçlı yazılımı tarafından kullanılan aynı C2 portları.
Soruşturma ayrıca 167.88.173.173’ün kötü amaçlı etki alanı pumaria.store için bir SSL sertifikasına çözümlendiğini ve barındırdığını ortaya koydu; bu daha sonra 11 Temmuz 2024’te 104.194.152.251’e çözümlendiği bulundu. Aynı gün, UAT-5394’ün test makinelerinden biri olan 80.71.157.55, 443 numaralı port üzerinden 104.194.152.251 ile iletişim kurdu; bu da bu sistemin MoonPeak enfeksiyonlarını test etmek için kullanıldığını gösteriyordu.
104.194.152.251’in daha detaylı analizi, yoiroyse.store gibi UAT-5394’e atfedilen diğer etki alanlarına çözümlendiğini ve MoonPeak kötü amaçlı yazılımını barındırmak ve 91.194.161.109’da yeni bir C2 sunucusu kurmak için kullanıldığını gösterdi.
MoonPeak’i Test Etmek ve Geliştirmek
Araştırmacılar, en azından 2 Temmuz 2024’ten bu yana UAT-5394 tarafından çeşitli C2 portları üzerinden MoonPeak enfeksiyonlarını test etmek için kullanılan 45.87.153.79, 45.95.11.52 ve 80.71.157.55 sunucularında birden fazla sanal makinenin kullanıldığını gözlemlediler.
Araştırmacılar, bu portlardaki test zamanlamalarının, kaydettikleri çeşitli MoonPeak örneklerinin derleme zamanlarıyla eşleştiğini, ayrıca kötü amaçlı yazılımda ve ilgili C2 bileşenlerinde bir evrim gözlemlediklerini, her yeni artışın kaçınma teknikleri ve altyapı değişiklikleri açısından bir öncekinden farklı olduğunu belirttiler.
Bu sürekli evrim, tehdit aktörlerinin tespit edilmekten kaçınmak için MoonPeak’i aktif olarak geliştirip iyileştirdiğini gösteriyor. Tehdit aktörlerinin implant varyantlarını test makinelerinde birkaç kez konuşlandırdıkları gözlemlendi ve bu da hem yetenek hem de uyarlanabilirlik için kaynaklar gösterdi.
MoonPeak’in kampanyaları ve saldırı operasyonlarından elde edilen potansiyel tehlike göstergeleri (IOC’ler) GitHub üzerinden paylaşıldı.