MoonPeak: Новый высокоуровневый шпионский троян из Северной Кореи нацелен на госсектор по всему миру

Зловред сочетает модульную основу открытого фреймворка XenoRAT с кастомными протоколами командного управления, многослойной обфускацией и устойчивой управляемой злоумышленниками инфраструктурой. Целями кампаний с его использованием становятся дипломатические, правительственные, академические и финансовые организации по всему миру. Обнаружение MoonPeak произошло в ходе наблюдения за активностью UAT-5394 после того, как группа перешла от более ранних инструментов, таких как QuasarRAT.

Ключевой особенностью, отмеченной исследователями, стал быстрый переход злоумышленников с использования публичной облачной инфраструктуры на собственные серверы. Этот шаг существенно снижает риск вывода из строя центров управления и поддерживает долгосрочную устойчивость операции.

Целенаправленная доставка через фишинг и рекламу

Основным методом доставки MoonPeak являются целевые фишинг письма с вредоносными ярлыками Windows LNK. Эти файлы визуально маскируются под легитимные документы PDF или DOC, часто ссылаясь на дипломатические встречи, инвестиционные брифинги или события, связанные с политикой. При выполнении ярлык запускает скрытую и сильно обфусцированную команду PowerShell, одновременно открывая документ-приманку, чтобы отвлечь жертву.

В отдельных кампаниях цепочка доставки злоупотребляет инфраструктурой редиректа рекламы Google. Злоумышленники используют легитимные домены для отслеживания кликов, чтобы обойти средства защиты электронной почты и перенаправить жертв на вредоносные промежуточные серверы.

Сложное поведение и техники уклонения

После выполнения троян проводит детальное профилирование среды, собирая системные метаданные: имя хоста, версию ОС, конфигурацию оборудования, данные вошедших пользователей и установленные средства безопасности. Эти данные передаются на серверы командного управления, что позволяет операторам определять приоритетность целей с высокой ценностью.

MoonPeak предоставляет полный удаленный доступ, включая выполнение команд, передачу файлов, захват экрана, кейлоггинг и манипуляции с процессами. Кроме того, вредоносная программа функционирует как модульный загрузчик, способный получать дополнительные полезные нагрузки (payload), такие как похитители учетных данных, инструменты сетевого обнаружения и вторичные бэкдоры.

Отличительная техника уклонения, наблюдаемая в кампаниях MoonPeak, включает манипуляцию заголовками файлов при доставке полезной нагрузки. Скрипты PowerShell загружают файлы, маскирующиеся под документы в формате RTF, а затем заменяют начальные байты на заголовки GZIP. Это превращает файл в сжатый архив, содержащий бинарный файл MoonPeak. Данная техника обходит средства безопасности, полагающиеся на поверхностную проверку типа файла.

Угроза долгосрочной персистентности

Анализ MoonPeak указывает на его роль в стратегических операциях по сбору разведданных. Его архитектура и методы работы ориентированы на скрытность и долгосрочное присутствие в целевых сетях. Использование собственной инфраструктуры и сложных методов обфускации значительно усложняет обнаружение и атрибуцию, подчеркивая растущую изощренность групп, связанных с КНДР. Эксперты рекомендуют организациям из целевых секторов усилить меры по обучению сотрудников распознаванию фишинга, ужесточить политики выполнения скриптов и внедрить многоуровневые системы защиты, способные анализировать поведение, а не только сигнатуры файлов.

IPv4

• 104.194.152.251
• 167.88.173.173
• 27.102.137.88
• 91.194.161.109
• 95.164.86.148

MD5

• 640f54bb6d29d98d92344136fee49d07
• ea5d9be286f7af423c070128af170085

SHA1

• 665a1cdb7f050816dcb7b90a5516f2a38613e281
• d8e96e777de3234e0771e6c53b7c09a659542f12
• ebec41675fff24858ad558429ce4e4e32c30da55

SHA256

• 1553bfac012b20a39822c5f2ef3a7bd97f52bb94ae631ac1178003b7d42e7b7f
• 8de36cb635eb87c1aa0e8219f1d8bf2bb44cad75b58ef421de77dd1aae669bf4
• aaac6eadac6c325bfc69b561d75f7cfd979ac289de1cc4430c5cc9a9a655b279