LuminousMoth APT

Изследователите разкриха мащабна операция за атака, която приписват на нова APT (Advanced Persistent Threat) група на име LuminousMoth. Кампаниите, свързани с APT, обикновено са силно насочени към киберпрестъпниците, които приспособяват веригата на заразяване и внедрените заплахи за злонамерен софтуер към конкретния обект, който целят да нарушат. Въпреки това, атаката на LuminousMoth доведе до необичайно голям брой жертви - около 100 в Мианмар и близо 1400 във Филипините. Повече от вероятно е действителните цели на кампанията да представляват малка подгрупа от разкритите жертви. Хакерите изглежда преследват държавни структури от двете страни, както и от чужбина.

Веригата на инфекцията

Първоначалният вектор на инфекция изглежда е фишинг имейл, съдържащ връзка за изтегляне на Dropbox, водеща до повреден файл. Файлът се преструва, че е документ на Word, но е RAR архив, съдържащ две компрометирани DLL библиотеки и два легитимни изпълними файла, натоварени със странично зареждане на DLL. Архивите използват имена на стръв като „COVID-19 Case 12-11-2020 (MOTC).rar“ и „DACU Projects.r01“. В Мианмар MOTC означава Министерството на транспорта и съобщенията, докато DACU е координационно звено за подпомагане на развитието.

След първоначалното нарушение на системата, LuminousMoth използва различен метод за странично движение. Заплахата сканира компрометираното устройство за сменяеми носители като USB устройства. След това създава скрити директории за съхраняване на избрани файлове.

Инструменти след експлоатация

На определени избрани цели LuminousMoth ескалира атаката, като разположи допълнителни заплашителни инструменти. Изследователите на Infosec забелязаха заплаха за крадец, която олицетворява популярното приложение за видеоконференции Zoom. За да добави легитимност, маскировката има валиден цифров подпис и сертификат. Веднъж стартиран, крадецът сканира системата на жертвата за специфични разширения на файлове и ги ексфилтрира към сървър за командване и управление (C2, C&C).

Заплахата също така достави крадец на бисквитки в Chrome на определени системи. Инструментът се нуждае от локално потребителско име за достъп до двата файла, съдържащи данните, които търси. След провеждане на някои тестове, изследователите на киберсигурността установиха, че целта на този инструмент е да отвлече и след това да се представя за сесиите на Gmail на целите.

Трябва да се отбележи, че LuminousMoth APT широко използва маяк Cobalt Strike като полезен товар в краен етап.

LuminousMoth е нов актьор на заплаха?

Изглежда, че кампанията за атака на LuminousMoth има някои поразителни прилики с операциите, извършвани от вече установено свързано с Китай APT на име HoneyMyte (Mustang Panda). И двете групи показват сходни целеви критерии и TTP (тактики, техники и процедури), които включват странично натоварване и разполагане на товарачи Cobalt Strike. В допълнение, крадецът на бисквитки Chome, наблюдаван в атаката на LuminousMoth, прилича на повреден компонент от минали дейности на HoneyMyte. Припокриванията в инфраструктурата осигуряват допълнителни връзки между групите. В момента не може да се определи окончателно дали LuminousMoth наистина е нова хакерска група или е обновена версия на HoneyMyte, оборудвана с нов арсенал от инструменти за злонамерен софтуер.