LuminousMoth APT

Forskere har afdækket en omfattende angrebsoperation, som de tilskriver en ny APT-gruppe (Advanced Persistent Threat) ved navn LuminousMoth. APT-relaterede kampagner er typisk meget målrettet mod cyberkriminelle, der skræddersy infektionskæden og de implementerede malware-trusler til den specifikke enhed, de sigter mod at bryde. Imidlertid har LuminousMoth-angrebet produceret et usædvanligt stort antal ofre - omkring 100 i Myanmar og tæt på 1400 i Filippinerne. Det er mere end sandsynligt, at kampagnens faktiske mål repræsenterer en lille delmængde af de opdagede ofre. Hackerne ser ud til at være på udkig efter regeringsenheder fra begge lande såvel som i udlandet.

Infektionskæden

Den oprindelige infektionsvektor ser ud til at være en spear-phishing-e-mail, der indeholder et Dropbox-downloadlink, der fører til en beskadiget fil. Filen foregiver at være et Word-dokument, men er et RAR-arkiv, der indeholder to kompromitterede DLL-biblioteker og to legitime eksekverbare filer, der har til opgave at sideindlæse DLL-filerne. Arkiverne brugte lokkemadnavne som 'COVID-19 Sag 12-11-2020 (MOTC) .rar' og 'DACU Projects.r01.' I Myanmar står MOTC for ministeriet for transport og kommunikation, mens DACU er koordineringsenheden for udviklingsassistance.

Efter den indledende brud på systemet anvender LuminousMoth en anden metode til at bevæge sig sidelæns. Truslen scanner den kompromitterede enhed for flytbare medier såsom USB-drev. Derefter oprettes skjulte mapper til lagring af udvalgte filer.

Værktøjer efter udnyttelse

På visse valgte mål eskalerede LuminousMoth angrebet ved at anvende yderligere truende værktøjer. Infosec-forskere bemærkede en stjælertrussel, der efterligner den populære videokonference-applikation Zoom. For at tilføje legitimitet har forklædningen en gyldig digital signatur og certifikat. Når den er startet, scanner stjæler offerets system for specifikke filtypenavne og exfiltrerer dem til en Command-and-Control-server (C2, C&C).

Trusselsaktøren leverede også en Chrome-cookie-stjæler til bestemte systemer. Værktøjet har brug for det lokale brugernavn for at få adgang til de to filer, der indeholder de data, det er efter. Efter at have kørt nogle tests besluttede cybersikkerhedsforskerne, at målet med dette værktøj er at kapre og derefter efterligne målene i Gmail-sessioner.

Det skal bemærkes, at LuminousMoth APT i udstrakt grad bruger et Cobalt Strike-fyrtårn som en sluttrinnets nyttelast.

Er LuminousMoth en ny trusselsskuespiller?

Det ser ud til, at LuminousMoth-angrebskampagnen har nogle slående ligheder med operationer udført af en allerede etableret kinesisk-relateret APT ved navn HoneyMyte (Mustang Panda). Begge grupper viser lignende målkriterier og TTP'er (taktik, teknikker og procedurer), der inkluderer sidelastning og implementering af Cobalt Strike- læssere. Derudover ligner Chome-cookie-stealeren set i LuminousMoth-angrebet en ødelagt komponent i tidligere HoneyMyte-aktiviteter. Overlappende infrastruktur giver yderligere forbindelser mellem grupperne. I øjeblikket kan det ikke bestemmes endeligt, om LuminousMoth faktisk er en ny hacker-gruppe, eller om det er en fornyet version af HoneyMyte udstyret med et nyt arsenal af malware-værktøjer.