LuminousMoth APT

محققان یک عملیات حمله در مقیاس بزرگ را کشف کرده اند که آن را به یک گروه جدید APT (تهدید پایدار پیشرفته) به نام LuminousMoth نسبت می دهند. کمپین های مرتبط با APT معمولاً به شدت هدف مجرمان سایبری هستند که زنجیره عفونت و تهدیدات بدافزار مستقر شده را برای نهاد خاصی که قصد نقض آن را دارند، تنظیم می کنند. با این حال، حمله LuminousMoth تعداد غیرمعمول زیادی قربانی را به همراه داشته است - حدود 100 نفر در میانمار و نزدیک به 1400 در فیلیپین. به احتمال زیاد اهداف واقعی کمپین زیرمجموعه کوچکی از قربانیان شناسایی شده را نشان می دهد. به نظر می رسد هکرها به دنبال نهادهای دولتی از هر دو کشور و همچنین خارج از کشور هستند.

زنجیره عفونت

به نظر می رسد که بردار آلودگی اولیه یک ایمیل فیشینگ نیزه ای است که حاوی لینک دانلود دراپ باکس است که منجر به یک فایل خراب می شود. این فایل وانمود می‌کند که یک سند Word است، اما یک بایگانی RAR است که شامل دو کتابخانه DLL در معرض خطر و دو فایل اجرایی قانونی است که وظیفه بارگذاری جانبی DLL‌ها را بر عهده دارند. بایگانی‌ها از نام‌های طعمه مانند «COVID-19 Case 12-11-2020(MOTC).rar» و «DACU Projects.r01» استفاده کردند. در میانمار، MOTC مخفف وزارت حمل و نقل و ارتباطات است، در حالی که DACU واحد هماهنگی کمک توسعه است.

پس از شکست اولیه سیستم، LuminousMoth از روش متفاوتی برای حرکت به طرفین استفاده می کند. تهدید دستگاه در معرض خطر را برای رسانه های قابل جابجایی مانند درایوهای USB اسکن می کند. سپس دایرکتوری های مخفی برای ذخیره فایل های انتخاب شده ایجاد می کند.

ابزارهای پس از بهره برداری

در برخی از اهداف انتخاب شده، LuminousMoth با استقرار ابزارهای تهدیدکننده اضافی، حمله را تشدید کرد. محققان Infosec متوجه تهدید دزدی شدند که جعل اپلیکیشن کنفرانس ویدیویی محبوب Zoom است. برای افزودن مشروعیت، مبدل دارای امضای دیجیتال و گواهی معتبر است. هنگامی که شروع به کار کرد، سارق سیستم قربانی را برای پسوندهای فایل خاص اسکن می کند و آنها را به یک سرور Command-and-Control (C2, C&C) منتقل می کند.

عامل تهدید همچنین یک دزد کوکی کروم را به سیستم های خاصی تحویل داد. این ابزار برای دسترسی به دو فایل حاوی داده‌های مورد نظر به نام کاربری محلی نیاز دارد. محققان امنیت سایبری پس از انجام آزمایش‌هایی مشخص کردند که هدف این ابزار ربودن و سپس جعل هویت جلسات جی‌میل اهداف است.

لازم به ذکر است که LuminousMoth APT به طور گسترده از چراغ Cobalt Strike به عنوان محموله نهایی استفاده می کند.

آیا LuminousMoth یک بازیگر تهدید جدید است؟

به نظر می رسد که کمپین حمله LuminousMoth دارای شباهت های قابل توجهی با عملیات انجام شده توسط یک APT مرتبط با چین به نام HoneyMyte (Mustang Panda) است. هر دو گروه معیارهای هدف و TTPهای مشابه (تاکتیک ها، تکنیک ها و رویه ها) را نشان می دهند که شامل بارگذاری جانبی و استقرار لودرهای Cobalt Strike می شود. علاوه بر این، دزد کوکی Chome که در حمله LuminousMoth دیده می‌شود، شبیه یک جزء خراب فعالیت‌های HoneyMyte است. همپوشانی در زیرساخت، پیوندهای بیشتری را بین گروه ها ایجاد می کند. در حال حاضر نمی توان به طور قطعی تعیین کرد که آیا LuminousMoth واقعاً یک گروه هکر جدید است یا اینکه نسخه جدیدی از HoneyMyte مجهز به زرادخانه جدیدی از ابزارهای بدافزار است.