TTL OSINT

21.08.2024 109 2 мин.

Вредоносная программа Moonspeak от северокорейских хакеров раскрывает новые подробности об инфраструктуре злоумышленников

В блоге Cisco Talos появилось сообщение о новом троянце удаленного доступа (RAT) под названием "MoonPeak", который разрабатывается северокорейской компанией nexus cluster под названием "UAT-5394". Это вредоносное ПО, основанное на семействе XenoRAT, было использовано в рамках кампании по борьбе с фишингом, недавно раскрытой AhnLab. Кластер UAT-5394 разделяет некоторые тактики, методы и процедуры (TTP) и схемы инфраструктуры с северокорейской государственной группой "Kimsuky", но нет убедительных технических доказательств, связывающих эту кампанию с Kimsuky. Сервер Moon Peak C2, 95[.]164[.]86[.]148, использовался для размещения вредоносных артефактов и выполнял функции сервера MoonPeak C2 на порту 9999 как минимум до 4 июля 2024 года. Доступ к IP-адресу также осуществлялся с двух других IP-адресов, 45[.]87[.]153[.]79 и 45[.]95[.]11[.]52,, которые являются тестовыми машинами/виртуальными машинами, используемыми злоумышленниками для тестирования своих имплантатов. 11 июля 2024 года злоумышленники использовали эту систему для доступа к другому IP-адресу, 91[.]194[.]161[.]109, чтобы настроить этот IP-адрес в качестве нового хостинга для вредоносного ПО и MoonPeak C2.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://blog.talosintelligence.com/moonpeak-malware-infrastructure-north-korea/

Выборочные показатели Compromise:

• 45.87.153.79
• 8a4fbcdec5c08e6324e3142f8b8c41da5b8e714b9398c425c47189f17a51d07b
• 104.194.152.251
• 148c69a7a1e06dc06e52db5c3f5895de6adc3d79498bc3ccc2cbd8fdf28b2070
• 0ed643a30a82daacecfec946031143b962f693104bcb7087ec6bda09ade0f3cb

Источник: TTL OSINT