Theo ghi nhận từ Cisco Talos, chiến dịch này được gán mã UAT-5394 và có những điểm tương đồng về mặt chiến thuật với nhóm APT Kimsuky, một nhóm đối tượng tấn công quốc gia đã được biết đến trước đó.

Mã độc MoonPeak vẫn đang trong quá trình phát triển, đây là một biến thể của mã độc Xeno RAT mã nguồn mở. Trước đây, Xeno RAT đã được sử dụng trong các chiến dịch lừa đảo, với mục tiêu tải xuống các payload từ các dịch vụ đám mây do đối tượng tấn công kiểm soát như Dropbox, Google Drive, và Microsoft OneDrive.

Trong chiến dịch này, nhóm đối tượng tấn công đã triển khai hạ tầng mới, bao gồm các máy chủ C&C, các trang lưu trữ payload, và các máy ảo thử nghiệm. Máy chủ C&C lưu trữ các mã độc để tải xuống, sau đó được sử dụng để truy cập và thiết lập cơ sở hạ tầng mới, hỗ trợ cho sự phát tán của MoonPeak. Trong một số trường hợp, nhóm đối tượng tấn công này còn truy cập vào các máy chủ đã có từ trước để cập nhật payload và thu thập thông tin từ các hệ thống bị nhiễm MoonPeak.

Đáng chú ý, sự phát triển liên tục của MoonPeak đi đôi với việc triển khai cơ sở hạ tầng mới bởi nhóm đối tượng tấn công và mỗi phiên bản của mã độc đều được trang bị các kỹ thuật ẩn mình nhằm làm khó khăn quá trình phân tích, cùng với việc thay đổi giao thức liên lạc để ngăn chặn truy cập trái phép. Nói cách khác, nhóm đối tượng tấn công đã thiết kế MoonPeak sao cho mỗi biến thể của mã độc chỉ hoạt động với phiên bản máy chủ C&C tương ứng.

Các chuyên gia bảo mật nhận định rằng, việc nhóm UAT-5394 liên tục triển khai và nâng cấp mã độc như trường hợp của MoonPeak cho thấy nhóm này đang tiếp tục bổ sung và cải thiện các công cụ tấn công trong hệ thống của mình. Tốc độ triển khai cơ sở hạ tầng mới nhanh chóng cũng là dấu hiệu cho thấy UAT-5394 đang nỗ lực mở rộng phạm vi chiến dịch tấn công, bổ sung thêm các điểm lây nhiễm và máy chủ C&C mới.

Danh sách một số IoC được ghi nhận

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/