LuminousMoth APT

كشف الباحثون النقاب عن عملية هجوم واسعة النطاق ينسبونها إلى مجموعة APT (التهديد المستمر المتقدم) الجديدة المسماة LuminousMoth. عادةً ما يتم استهداف الحملات المتعلقة بـ APT بشكل كبير مع مجرمي الإنترنت الذين يصممون سلسلة العدوى وتهديدات البرامج الضارة المنشورة للكيان المحدد الذي يهدفون إلى اختراقه. ومع ذلك ، أسفر هجوم LuminousMoth عن عدد كبير بشكل غير عادي من الضحايا - حوالي 100 في ميانمار وما يقرب من 1400 في الفلبين. من المرجح أن تمثل الأهداف الفعلية للحملة مجموعة فرعية صغيرة من الضحايا المكتشفة. يبدو أن المتسللين يسعون وراء كيانات حكومية من كلا البلدين وكذلك في الخارج.

سلسلة العدوى

يبدو أن ناقل العدوى الأولي هو رسالة بريد إلكتروني مخادعة تحتوي على رابط تنزيل Dropbox يؤدي إلى ملف تالف. يتظاهر الملف بأنه مستند Word ولكنه أرشيف RAR يحتوي على مكتبات DLL مخترقة وملفين تنفيذيين شرعيين مكلفين بالتحميل الجانبي لملفات DLL. استخدمت الأرشيفات أسماء طعم مثل "COVID-19 Case 12-11-2020 (MOTC) .rar" و "DACU Projects.r01." في ميانمار ، MOTC تعني وزارة النقل والاتصالات ، بينما DACU هي وحدة تنسيق مساعدات التنمية.

بعد الخرق الأولي للنظام ، تستخدم LuminousMoth طريقة مختلفة للتحريك الجانبي. يفحص التهديد الجهاز المخترق بحثًا عن وسائط قابلة للإزالة مثل محركات أقراص USB. ثم يقوم بإنشاء أدلة مخفية لتخزين ملفات محددة.

أدوات ما بعد الاستغلال

على أهداف محددة ، صعدت LuminousMoth الهجوم من خلال نشر أدوات تهديد إضافية. لاحظ باحثو Infosec تهديدًا بالسرقة ينتحل شخصية تطبيق مؤتمرات الفيديو الشهير Zoom. لإضافة الشرعية ، يحتوي التمويه على توقيع رقمي وشهادة صالحة. بمجرد البدء ، يقوم السارق بفحص نظام الضحية بحثًا عن امتدادات ملفات محددة ويسربها إلى خادم الأوامر والتحكم (C2 ، C&C).

قام ممثل التهديد أيضًا بتسليم ملف تعريف ارتباط Chrome إلى أنظمة معينة. تحتاج الأداة إلى اسم المستخدم المحلي للوصول إلى الملفين اللذين يحتويان على البيانات التي تليها. بعد إجراء بعض الاختبارات ، قرر باحثو الأمن السيبراني أن الهدف من هذه الأداة هو الاختطاف ثم انتحال شخصية جلسات Gmail للأهداف.

وتجدر الإشارة إلى أن LuminousMoth APT يستخدم على نطاق واسع منارة Cobalt Strike كحمولة في المرحلة النهائية.

هل LuminousMoth ممثل تهديد جديد؟

يبدو أن حملة هجوم LuminousMoth تحمل بعض أوجه التشابه اللافتة للنظر مع العمليات التي نفذتها بالفعل APT ذات الصلة بالصين تسمى HoneyMyte (موستانج باندا). تعرض كلتا المجموعتين معايير مستهدفة مماثلة و TTPs (التكتيكات والتقنيات والإجراءات) التي تشمل التحميل الجانبي ونشر لوادر Cobalt Strike. بالإضافة إلى ذلك ، يشبه سارق ملف تعريف الارتباط Chome الذي شوهد في هجوم LuminousMoth مكونًا تالفًا لأنشطة HoneyMyte السابقة. توفر التداخلات في البنية التحتية روابط إضافية بين المجموعات. في الوقت الحالي ، لا يمكن تحديد ما إذا كانت LuminousMoth هي بالفعل مجموعة قراصنة جديدة أم أنها نسخة مجددة من HoneyMyte مزودة بترسانة جديدة من أدوات البرامج الضارة.