LuminousMoth APT

Výzkumníci odhalili rozsáhlou útočnou operaci, kterou připisují nové skupině APT (Advanced Persistent Threat) s názvem LuminousMoth. Kampaně související s APT jsou obvykle vysoce cílené, přičemž kyberzločinci přizpůsobují infekční řetězec a nasazené hrozby malwaru konkrétní entitě, kterou chtějí prolomit. Útok LuminousMoth si však vyžádal neobvykle vysoký počet obětí – kolem 100 v Myanmaru a téměř 1400 na Filipínách. Je více než pravděpodobné, že skutečné cíle kampaně představují malou podmnožinu odhalených obětí. Zdá se, že hackeři jdou po vládních subjektech z obou zemí i ze zahraničí.

Infekční řetězec

Zdá se, že počátečním vektorem infekce je spear-phishingový e-mail obsahující odkaz ke stažení Dropbox vedoucí k poškozenému souboru. Soubor předstírá, že je dokumentem aplikace Word, ale je to archiv RAR obsahující dvě kompromitované knihovny DLL a dva legitimní spustitelné soubory, jejichž úkolem je boční načítání knihoven DLL. Archivy používaly názvy návnad, jako je „COVID-19 Case 12-11-2020 (MOTC).rar“ a „DACU Projects.r01“. V Myanmaru MOTC znamená ministerstvo dopravy a komunikací, zatímco DACU je koordinační jednotka rozvojové pomoci.

Po počátečním narušení systému LuminousMoth používá jinou metodu pohybu do stran. Hrozba prohledává napadené zařízení, zda neobsahuje vyměnitelná média, jako jsou jednotky USB. Poté vytvoří skryté adresáře pro uložení vybraných souborů.

Nástroje po exploataci

Na určité vybrané cíle LuminousMoth eskaloval útok nasazením dalších ohrožujících nástrojů. Výzkumníci z Infosec si všimli zlodějské hrozby, která se vydává za populární videokonferenční aplikaci Zoom. Pro zvýšení legitimity má převlek platný digitální podpis a certifikát. Jakmile je zloděj iniciován, prohledá systém oběti na konkrétní přípony souborů a exfiltruje je na server Command-and-Control (C2, C&C).

Hrozba také doručila do konkrétních systémů zloděje souborů cookie Chrome. Nástroj potřebuje místní uživatelské jméno pro přístup ke dvěma souborům obsahujícím data, která sleduje. Po provedení několika testů výzkumníci kybernetické bezpečnosti zjistili, že cílem tohoto nástroje je unést a poté se vydávat za relace Gmailu cílů.

Je třeba poznamenat, že LuminousMoth APT ve velké míře používá maják Cobalt Strike jako užitečné zatížení koncové fáze.

Je LuminousMoth novou hrozbou?

Zdá se, že útočná kampaň LuminousMoth nese některé pozoruhodné podobnosti s operacemi prováděnými již zavedeným čínským APT s názvem HoneyMyte (Mustang Panda). Obě skupiny vykazují podobná cílová kritéria a TTP (taktiky, techniky a postupy), které zahrnují boční nakládání a nasazení nakladačů Cobalt Strike. Kromě toho, zloděj cookies Chome viděný v útoku LuminousMoth připomíná poškozenou součást minulých aktivit HoneyMyte. Přesahy v infrastruktuře poskytují další propojení mezi skupinami. V tuto chvíli nelze jednoznačně určit, zda je LuminousMoth skutečně novou hackerskou skupinou, nebo jde o přepracovanou verzi HoneyMyte vybavenou novým arzenálem malwarových nástrojů.