LuminousMoth APT

El Mezo el Advanced Persistent Threat (APT)

Traduir a:

Els investigadors han descobert una operació d'atac a gran escala que atribueixen a un nou grup d'APT (amenaça persistent avançada) anomenat LuminousMoth. Les campanyes relacionades amb APT solen estar molt dirigides amb els ciberdelinqüents que adapten la cadena d'infecció i les amenaces de programari maliciós desplegades a l'entitat específica que pretenen infringir. Tanmateix, l'atac de LuminousMoth ha produït un nombre inusualment elevat de víctimes: unes 100 a Myanmar i prop de 1400 a les Filipines. És més que probable que els objectius reals de la campanya representin un petit subconjunt de les víctimes detectades. Els pirates informàtics semblen perseguir entitats governamentals d'ambdós països i de l'estranger.

La cadena d'infecció

El vector d'infecció inicial sembla ser un correu electrònic de pesca de pesca que conté un enllaç de descàrrega de Dropbox que condueix a un fitxer danyat. El fitxer pretén ser un document de Word, però és un arxiu RAR que conté dues biblioteques DLL compromeses i dos executables legítims encarregats de carregar lateralment els DLL. Els arxius utilitzaven noms d'esquer com "COVID-19 Case 12-11-2020(MOTC).rar" i "DACU Projects.r01". A Myanmar, MOTC significa Ministeri de Transports i Comunicacions, mentre que DACU és la Unitat de Coordinació d'Assistència al Desenvolupament.

Després de l'incompliment inicial del sistema, LuminousMoth utilitza un mètode diferent per moure's lateralment. L'amenaça explora el dispositiu compromès a la recerca de suports extraïbles com ara unitats USB. A continuació, crea directoris ocults per emmagatzemar fitxers seleccionats.

Eines post-explotació

En determinats objectius escollits, LuminousMoth va augmentar l'atac desplegant eines amenaçadores addicionals. Els investigadors de Infosec van notar una amenaça de robatori que suplanta la popular aplicació de videoconferències Zoom. Per afegir legitimitat, la disfressa té una signatura digital i un certificat vàlids. Un cop iniciat, el lladre escaneja el sistema de la víctima a la recerca d'extensions de fitxer específiques i les exfiltra a un servidor d'ordres i control (C2, C&C).

L'actor de l'amenaça també va lliurar un robatori de galetes de Chrome a sistemes específics. L'eina necessita el nom d'usuari local per accedir als dos fitxers que contenen les dades que busca. Després d'executar algunes proves, els investigadors de ciberseguretat van determinar que l'objectiu d'aquesta eina és segrestar i suplantar la identitat de les sessions de Gmail dels objectius.

Cal tenir en compte que el LuminousMoth APT utilitza àmpliament una balisa Cobalt Strike com a càrrega útil de l'etapa final.

LuminousMoth és un nou actor d'amenaça?

Sembla que la campanya d'atac de LuminousMoth té algunes similituds sorprenents amb les operacions realitzades per un APT ja establert relacionat amb la Xina anomenat HoneyMyte (Mustang Panda). Tots dos grups mostren criteris d'objectiu i TTP (tàctiques, tècniques i procediments) similars que inclouen la càrrega lateral i el desplegament de carregadors Cobalt Strike. A més, el robatori de galetes Chome vist a l'atac LuminousMoth s'assembla a un component corrupte de les activitats passades de HoneyMyte. Els solapaments en la infraestructura ofereixen enllaços addicionals entre els grups. De moment no es pot determinar de manera concloent si LuminousMoth és realment un nou grup de pirates informàtics o si es tracta d'una versió renovada de HoneyMyte equipada amb un nou arsenal d'eines de programari maliciós.

Cerca

Canvia de regió

LuminousMoth APT

Enviar Comentari

Tendència

Safe Search Eng

MyWallPaper

Grounding Conductor Ransomware

Més vist

Lookmovie.io és segur?

DNS Unlocker

Estafa de correu electrònic "Geek Squad".