LuminousMoth APT

Tutkijat ovat paljastaneet laajamittaisen hyökkäysoperaation, jonka he pitävät uudesta APT (Advanced Persistent Threat) -ryhmästä nimeltä LuminousMoth. APT:hen liittyvät kampanjat on tyypillisesti kohdistettu tarkasti kyberrikollisiin, jotka räätälöivät tartuntaketjun ja käyttöönotetut haittaohjelmauhat juuri sille taholle, jota he pyrkivät rikkomaan. LuminousMoth-hyökkäys on kuitenkin tuottanut epätavallisen paljon uhreja - noin 100 Myanmarissa ja lähes 1 400 Filippiineillä. On enemmän kuin todennäköistä, että kampanjan todelliset kohteet edustavat pientä osaa havaituista uhreista. Hakkerit näyttävät jahtaavan molempien maiden hallintoelimiä sekä ulkomailta.

Infektioketju

Alkuperäinen tartuntavektori näyttää olevan phishing-sähköposti, joka sisältää Dropbox-latauslinkin, joka johtaa vioittuneeseen tiedostoon. Tiedosto teeskentelee olevansa Word-asiakirja, mutta on RAR-arkisto, joka sisältää kaksi vaarantunutta DLL-kirjastoa ja kaksi laillista suoritettavaa tiedostoa, joiden tehtävänä on ladata DLL-tiedostot sivulta. Arkistot käyttivät syöttien nimiä, kuten "COVID-19 Case 12-11-2020(MOTC).rar" ja "DACU Projects.r01". Myanmarissa MOTC tarkoittaa liikenne- ja viestintäministeriötä, kun taas DACU on kehitysavun koordinointiyksikkö.

Järjestelmän ensimmäisen rikkoutumisen jälkeen LuminousMoth käyttää erilaista menetelmää sivuttain liikkumiseen. Uhka etsii vaarantuneen laitteen siirrettävien tietovälineiden, kuten USB-asemien, varalta. Sitten se luo piilotettuja hakemistoja valittujen tiedostojen tallentamiseen.

Jälkikäytön työkalut

Tietyissä valituissa kohteissa LuminousMoth eskaloi hyökkäystä ottamalla käyttöön muita uhkaavia työkaluja. Infosecin tutkijat huomasivat varastajan uhan, joka jäljittelee suosittua videoneuvottelusovellusta Zoom. Legitiimiyden lisäämiseksi naamiolla on kelvollinen digitaalinen allekirjoitus ja varmenne. Aloittamisen jälkeen varastaja etsii uhrin järjestelmästä tiettyjä tiedostopäätteitä ja suodattaa ne komento- ja ohjauspalvelimelle (C2, C&C).

Uhkatoimija toimitti myös Chrome-evästevarastajan tiettyihin järjestelmiin. Työkalu tarvitsee paikallisen käyttäjänimen käyttääkseen kahta tiedostoa, jotka sisältävät sen hakemat tiedot. Suoritettuaan joitain testejä kyberturvallisuustutkijat päättelivät, että tämän työkalun tarkoituksena on kaapata ja jäljitellä kohteiden Gmail-istuntoja.

On huomattava, että LuminousMoth APT käyttää laajasti Cobalt Strike -majakkaa loppuvaiheen hyötykuormana.

Onko LuminousMoth uusi uhkanäyttelijä?

Näyttää siltä, että LuminousMoth-hyökkäyskampanjalla on silmiinpistäviä yhtäläisyyksiä jo vakiintuneen kiinalaiseen APT:hen nimeltä HoneyMyte (Mustang Panda). Molemmilla ryhmillä on samanlaiset kohdekriteerit ja TTP:t (taktiikat, tekniikat ja menettelyt), jotka sisältävät sivulatauksen ja Cobalt Strike -kuormaajien käyttöönoton. Lisäksi LuminousMoth-hyökkäyksessä havaittu Chome-evästevaras muistuttaa aiempien HoneyMyte-toimintojen vioittunutta osaa. Päällekkäisyydet infrastruktuurissa luovat lisäyhteyksiä ryhmien välille. Tällä hetkellä ei voida lopullisesti määrittää, onko LuminousMoth todellakin uusi hakkeriryhmä vai onko se HoneyMyten uusittu versio, joka on varustettu uudella haittaohjelmatyökalujen arsenaalilla.