북한의 사이버 위협, MoonPeak 악성 코드로 진화한다

Cisco Talos가 북한의 해킹 그룹인 “UAT-5394″가 다양한 서버를 이용해 자신들의 악성 소프트웨어를 테스트하고 제어하는 것을 확인했습니다. 그들은 이전에 XenoRAT라는 악성 소프트웨어를 기반으로 하는 새로운 버전의 악성 소프트웨어인 “MoonPeak”를 개발 중입니다.

어제 발표된 그들의 보고서에 따르면, MoonPeak는 2023년 10월경 GitHub에서 공개된 XenoRAT의 공개 소스 코드를 기반으로 한다고 합니다.

비록 MoonPeak는 원래 XenoRAT의 많은 기능들을 유지하고 있지만, Cisco Talos의 분석은 그것의 변형들 전반에 일관된 변화를 확인하였는데, 이는 위협적인 행동자들이 오픈소스 버전을 넘어 독립적으로 코드를 수정하고 발전시키고 있다는 것을 나타냅니다.

MoonPeak는 “Kimsuky”라는 이름의 알려진 북한 그룹이 사용하는 악성 코드와 일부 유사점을 공유하고 있지만, Cisco Talos는 그들 사이에 직접적인 연결을 확인하기에 충분한 증거를 가지고 있지 않다고 밝혔습니다.

연구자들은 새로운 악성 소프트웨어가 두 가지 주요 가능성을 제기한다고 제안합니다. 첫째, UAT-5394는 Kimsuky 또는 MoonPeak로 기존 악성 소프트웨어를 대체하는 Kimsuky의 하위 그룹일 수 있습니다.

또는, UAT-5394는 Kimsuky와 유사한 기법과 인프라를 사용하는 다른 북한 그룹일 수 있습니다.

지금으로서는, Cisco Talos는 UAT-5394를 별도의 그룹으로 취급하기로 결정했습니다. 그들이 Kimsuky와 연결하거나 북한의 해킹 작업 내에서 독특한 그룹으로 확인하는 데 더 많은 증거를 가질 때까지 말입니다.

Cisco Talos의 연구원들은 또한 이 그룹이 특별한 서버를 사용하여 MoonPeak를 테스트하고 업데이트하는 것을 밝혔습니다. Cisco Talos는 이 그룹이 이러한 서버를 다운로드하고 맬웨어를 제어하는데 사용하며, 그들은 종종 VPN을 통해 이러한 서버에 접속하여 맬웨어를 관리하고 업데이트한다고 제안합니다.

게다가, 사이버보안 뉴스(CN)는 XenoRAT 악성 소프트웨어가 그 창작자들에 의해 여러 가지 수정을 거쳤다고 보고하고 있습니다. 이로써 클라이언트 네임스페이스, 통신 프로토콜, 그리고 난독화 기법 등에 변화가 생겼습니다.

이러한 업데이트들은 회피 전략을 강화하고, 원치 않는 클라이언트들이 명령 및 제어(C2) 인프라와 상호작용하는 것을 방지하기 위해 설계되었습니다.

사이버 익스프레스(The Cyber Express)(TCE)에 따르면 연구자들은 2024년 6월에 이 배우의 전술에서 큰 변화를 발견했습니다. 그들은 합법적인 클라우드 저장 공급자를 사용하는 것에서 벗어나 이제 자신들이 소유하고 통제하는 시스템과 서버에 악성 페이로드를 호스팅하는 방향으로 전환했습니다.

TCE는 이런 전환이 클라우드 서비스 제공자들에 의한 잠재적인 운영 중단으로부터 그들의 작업을 보호하기 위한 것으로 보인다고 제안합니다.

마침내, CN은 이런 변화의 빠른 속도가 그룹이 그들의 캠페인을 빠르게 확장하면서 더 많은 드랍 포인트와 C2 서버를 설정하는 노력을 반영한다고 지적합니다.