近日,北韩发起的一次攻击让研究人员对这个政权的黑客操作有了更深入的了解。来自 Cisco Talos 的团队 表示,这次名为“MoonPeak”的攻击揭示了这个Hermit Kingdom隐士王国黑客团队可能如何运营其各种行动以及其背后的结构。
这次攻击本身是一次相对常见的尝试,旨在感染通过网络钓鱼手段获取的设备,安装远程控制和监控软件,以收集受感染设备上的活动数据。
不过,研究人员注意到 MoonPeak 恶意软件在收集和上传其数据的方式上表现突出。Cisco Talos 的研究人员指出,这次感染与其他北韩的感染活动有著很大的相似性。
白鲸加速器1.45“Talos 的研究发现了用于创建 MoonPeak 新版本的测试和布局基础设施,”Cisco Talos 团队解释道。
“C2 服务器托管可供下载的恶意物品,然后用于访问并设置新的基础设施以支持这一活动。在多个实例中,我们还观察到威胁行为者访问现有的服务器以更新其有效载荷并检索来自 MoonPeak 感染的日志和收集的信息。”
与集中于数据盗窃或网络破坏的其他网络间谍行动不同,北韩黑客的工作通常集中在账户盗窃和金融交易上,这反映了该流亡国家面临的银行禁运。
因此,大多数北韩的黑客行动专注于金融账户窃取或直接间谍活动。与此同时,该国通过少数几位国际盟友有限地获得技术,而这些盟友本身可能也在使用盗版技术。这某种程度上造成了国家赞助行为与私人实体行为之间的模糊界限。
这让研究人员思考,MoonPeak 恶意软件感染是否是北韩更大范围内收集西方国家情报的努力之一。对 MoonPeak 感染的研究追溯到了与名为 UAT5394 或“Kimusky”的北韩黑客操作相关的指挥与控制伺服器地址。
虽然大多数人可以清晰地看出其间的联系,研究人员却暂时没有将这些行动直接联系起来,因为缺乏具体证据。
“这一活动集群在战术、技术和程序TTP及基础设施模式上与北韩国家赞助组织 Kimusky 有一些重叠,”他们表示。
“然而,我们没有实质性的技术证据将这次行动与 APT 直接联系起来。”
