LuminousMoth APT
Οι ερευνητές αποκάλυψαν μια επιχείρηση επίθεσης μεγάλης κλίμακας που αποδίδουν σε μια νέα ομάδα APT (Advanced Persistent Threat) που ονομάζεται LuminousMoth. Οι καμπάνιες που σχετίζονται με το APT στοχεύουν συνήθως σε μεγάλο βαθμό τους εγκληματίες του κυβερνοχώρου που προσαρμόζουν την αλυσίδα μόλυνσης και τις αναπτυσσόμενες απειλές κακόβουλου λογισμικού στη συγκεκριμένη οντότητα που στοχεύουν να παραβιάσουν. Ωστόσο, η επίθεση του LuminousMoth προκάλεσε έναν ασυνήθιστα υψηλό αριθμό θυμάτων - περίπου 100 στη Μιανμάρ και κοντά στα 1400 στις Φιλιππίνες. Είναι περισσότερο από πιθανό ότι οι πραγματικοί στόχοι της εκστρατείας αντιπροσωπεύουν ένα μικρό υποσύνολο των θυμάτων που εντοπίστηκαν. Οι χάκερ φαίνεται να κυνηγούν κυβερνητικούς φορείς και από τις δύο χώρες καθώς και από το εξωτερικό.
Η Αλυσίδα Λοιμώξεων
Το αρχικό διάνυσμα μόλυνσης φαίνεται να είναι ένα email ηλεκτρονικού ψαρέματος με δόρυ που περιέχει έναν σύνδεσμο λήψης Dropbox που οδηγεί σε ένα κατεστραμμένο αρχείο. Το αρχείο προσποιείται ότι είναι ένα έγγραφο του Word, αλλά είναι ένα αρχείο RAR που περιέχει δύο παραβιασμένες βιβλιοθήκες DLL και δύο νόμιμα εκτελέσιμα αρχεία που έχουν ως αποστολή την πλευρική φόρτωση των DLL. Τα αρχεία χρησιμοποιούσαν ονόματα δολωμάτων όπως "COVID-19 Case 12-11-2020(MOTC).rar" και "DACU Projects.r01". Στη Μιανμάρ, το MOTC σημαίνει Υπουργείο Μεταφορών και Επικοινωνιών, ενώ το DACU είναι η Μονάδα Συντονισμού Αναπτυξιακής Βοήθειας.
Μετά την αρχική παραβίαση του συστήματος, το LuminousMoth χρησιμοποιεί μια διαφορετική μέθοδο για πλάγια κίνηση. Η απειλή σαρώνει την παραβιασμένη συσκευή για αφαιρούμενα μέσα, όπως μονάδες USB. Στη συνέχεια δημιουργεί κρυφούς καταλόγους για την αποθήκευση επιλεγμένων αρχείων.
Εργαλεία μετά την εκμετάλλευση
Σε ορισμένους επιλεγμένους στόχους, το LuminousMoth κλιμάκωσε την επίθεση αναπτύσσοντας πρόσθετα απειλητικά εργαλεία. Οι ερευνητές της Infosec παρατήρησαν μια απειλή κλοπής που υποδύεται τη δημοφιλή εφαρμογή τηλεδιάσκεψης Zoom. Για να προστεθεί νομιμότητα, η μεταμφίεση έχει έγκυρη ψηφιακή υπογραφή και πιστοποιητικό. Μόλις ξεκινήσει, ο κλέφτης σαρώνει το σύστημα του θύματος για συγκεκριμένες επεκτάσεις αρχείων και τις διοχετεύει σε έναν διακομιστή Command-and-Control (C2, C&C).
Ο ηθοποιός της απειλής παρέδωσε επίσης ένα πρόγραμμα κλοπής cookie Chrome σε συγκεκριμένα συστήματα. Το εργαλείο χρειάζεται το τοπικό όνομα χρήστη για πρόσβαση στα δύο αρχεία που περιέχουν τα δεδομένα που αναζητά. Μετά την εκτέλεση ορισμένων δοκιμών, οι ερευνητές κυβερνοασφάλειας διαπίστωσαν ότι ο στόχος αυτού του εργαλείου είναι να παραβιάσει και στη συνέχεια να πλαστοπροσωπήσει τις περιόδους σύνδεσης Gmail των στόχων.
Θα πρέπει να σημειωθεί ότι το LuminousMoth APT χρησιμοποιεί εκτενώς έναν φάρο Cobalt Strike ως ωφέλιμο φορτίο τελικού σταδίου.
Είναι ο LuminousMoth ένας νέος ηθοποιός απειλών;
Φαίνεται ότι η εκστρατεία επίθεσης LuminousMoth έχει κάποιες εντυπωσιακές ομοιότητες με τις επιχειρήσεις που πραγματοποιούνται από ένα ήδη εγκατεστημένο APT που σχετίζεται με την Κίνα με το όνομα HoneyMyte (Mustang Panda). Και οι δύο ομάδες εμφανίζουν παρόμοια κριτήρια στόχων και TTP (Τακτικές, Τεχνικές και Διαδικασίες) που περιλαμβάνουν την πλευρική φόρτωση και την ανάπτυξη φορτωτών Cobalt Strike. Επιπλέον, ο κλέφτης cookie Chome που εμφανίζεται στην επίθεση LuminousMoth μοιάζει με ένα κατεστραμμένο στοιχείο προηγούμενων δραστηριοτήτων της HoneyMyte. Οι επικαλύψεις στην υποδομή παρέχουν πρόσθετους δεσμούς μεταξύ των ομάδων. Προς το παρόν, δεν μπορεί να προσδιοριστεί οριστικά εάν το LuminousMoth είναι όντως μια νέα ομάδα χάκερ ή εάν πρόκειται για μια ανανεωμένη έκδοση του HoneyMyte εξοπλισμένη με ένα νέο οπλοστάσιο εργαλείων κακόβουλου λογισμικού.
