LuminousMoth APT

Teadlased on avastanud laiaulatusliku ründeoperatsiooni, mille nad omistavad uuele APT (Advanced Persistent Threat) rühmale nimega LuminousMoth. APT-ga seotud kampaaniad on tavaliselt sihitud küberkurjategijatele, kes kohandavad nakkusahelat ja juurutatud pahavaraohte konkreetsele üksusele, mida nad soovivad rikkuda. LuminousMothi rünnak on toonud aga ebatavaliselt palju ohvreid – umbes 100 Myanmaris ja ligi 1400 Filipiinidel. On enam kui tõenäoline, et kampaania tegelikud sihtmärgid moodustavad avastatud ohvrite väikese osa. Tundub, et häkkerid otsivad nii mõlema riigi kui ka välisriigi valitsusüksusi.

Nakkusahel

Esialgne nakatumise vektor näib olevat andmepüügimeil, mis sisaldab Dropboxi allalaadimislinki, mis viib rikutud failini. Fail näib olevat Wordi dokument, kuid see on RAR-arhiiv, mis sisaldab kahte kahjustatud DLL-teeki ja kahte seaduslikku käivitatavat faili, mille ülesandeks on DLL-ide külglaadimine. Arhiivis kasutati selliseid söödanimesid nagu „COVID-19 juhtum 12-11-2020(MOTC).rar” ja „DACU Projects.r01”. Myanmaris tähistab MOTC transpordi- ja kommunikatsiooniministeeriumi, DACU aga arenguabi koordineerimisüksust.

Pärast süsteemi esmast rikkumist kasutab LuminousMoth külgsuunas liikumiseks teistsugust meetodit. Oht otsib ohustatud seadet irdkandjate (nt USB-draivide) suhtes. Seejärel loob see valitud failide salvestamiseks peidetud kataloogid.

Kasutamisjärgsed tööriistad

Teatud valitud sihtmärkide puhul suurendas LuminousMoth rünnakut täiendavate ähvardavate tööriistade kasutuselevõtuga. Infoseci teadlased märkasid röövimisohtu, mis kehastab populaarset videokonverentsirakendust Zoom. Legitiimsuse lisamiseks on maskeeringul kehtiv digitaalallkiri ja sertifikaat. Pärast käivitamist otsib varastaja ohvri süsteemist konkreetseid faililaiendeid ja eksfiltreerib need käsu- ja juhtimisserverisse (C2, C&C).

Ohustaja edastas ka Chrome'i küpsiste varastaja konkreetsetele süsteemidele. Tööriist vajab kohalikku kasutajanime, et pääseda juurde kahele failile, mis sisaldavad soovitud andmeid. Pärast mõningaid teste tegid küberjulgeoleku teadlased kindlaks, et selle tööriista eesmärk on kaaperdada sihtmärkide Gmaili seansse ja seejärel esineda nendena.

Tuleb märkida, et LuminousMoth APT kasutab lõppfaasi kasuliku koormana laialdaselt Cobalt Strike'i majakat.

Kas LuminousMoth on uus ohunäitleja?

Näib, et LuminousMothi ründekampaanial on mõningaid silmatorkavaid sarnasusi operatsioonidega, mida viib läbi juba loodud Hiinaga seotud APT nimega HoneyMyte (Mustang Panda). Mõlemal rühmal on sarnased sihtkriteeriumid ja TTP-d (taktikad, tehnikad ja protseduurid), mis hõlmavad külglaadimist ja Cobalt Strike'i laadurite kasutuselevõttu. Lisaks meenutab LuminousMothi rünnakus nähtud Chome'i küpsiste varastaja HoneyMyte'i varasemate tegevuste rikutud komponenti. Taristu kattumine loob rühmade vahel täiendavaid sidemeid. Praegu ei saa lõplikult kindlaks teha, kas LuminousMoth on tõepoolest uus häkkerirühmitus või on see HoneyMyte'i uuendatud versioon, mis on varustatud uue pahavara tööriistade arsenaliga.