LuminousMoth APT

חוקרים חשפו פעולת תקיפה בקנה מידה גדול שהם מייחסים לקבוצת APT חדשה (Advanced Persistent Threat) בשם LuminousMoth. מסעות פרסום הקשורים ל-APT ממוקדים בדרך כלל לפושעי סייבר התאמת שרשרת ההדבקה ואת איומי התוכנות הזדוניות שנפרסו לישות הספציפית שהם שואפים להפר. עם זאת, מתקפת LuminousMoth הניבה מספר גבוה במיוחד של קורבנות - כ-100 במיאנמר וקרוב ל-1400 בפיליפינים. סביר להניח שהמטרות בפועל של הקמפיין מייצגות תת-קבוצה קטנה של הקורבנות שזוהו. נראה שההאקרים רודפים אחר גופים ממשלתיים משתי המדינות וגם מחו"ל.

שרשרת הזיהום

נראה כי וקטור ההדבקה הראשוני הוא דוא"ל דיוג בחנית המכיל קישור הורדה של Dropbox המוביל לקובץ פגום. הקובץ מתיימר להיות מסמך וורד אבל הוא ארכיון RAR המכיל שתי ספריות DLL שנפגעו ושני קובצי הפעלה לגיטימיים עם המשימה לטעון את ה-DLL בצדדים. הארכיונים השתמשו בשמות פיתיון כגון 'COVID-19 Case 12-11-2020(MOTC).rar' ו-'DACU Projects.r01.' במיאנמר, MOTC מייצג את משרד התחבורה והתקשורת, בעוד DACU היא היחידה לתיאום סיוע לפיתוח.

לאחר הפריצה הראשונית של המערכת, LuminousMoth משתמש בשיטה שונה לנוע הצידה. האיום סורק את המכשיר שנפרץ לאיתור מדיה נשלפת כגון כונני USB. לאחר מכן הוא יוצר ספריות נסתרות לאחסון קבצים נבחרים.

כלים לאחר ניצול

על יעדים מסוימים שנבחרו, LuminousMoth הסלימה את המתקפה על ידי פריסת כלים מאיימים נוספים. חוקרי Infosec הבחינו באיום גנב שמתחזה לאפליקציית הווידאו הפופולרית זום. כדי להוסיף לגיטימציה, לתחפושת יש חתימה דיגיטלית ותעודה חוקיים. לאחר ההפעלה, הגנב סורק את המערכת של הקורבן לאיתור הרחבות קבצים ספציפיות ומסנן אותן לשרת Command-and-Control (C2, C&C).

שחקן האיומים גם סיפק גניבת קובצי Cookie של Chrome למערכות ספציפיות. הכלי צריך את שם המשתמש המקומי כדי לגשת לשני הקבצים המכילים את הנתונים שהוא מחפש. לאחר הפעלת כמה בדיקות, חוקרי אבטחת הסייבר קבעו שהמטרה של הכלי הזה היא לחטוף ולאחר מכן להתחזות למפגשי Gmail של היעדים.

יש לציין שה-LuminousMoth APT משתמש רבות במשואה של Cobalt Strike כמטען סופי.

האם LuminousMoth הוא שחקן איום חדש?

נראה שלקמפיין התקיפה של LuminousMoth יש כמה קווי דמיון בולטים לפעולות שבוצעו על ידי APT שכבר הוקם הקשור לסין בשם HoneyMyte (Mustang Panda). שתי הקבוצות מציגות קריטריוני יעד דומים ו-TTPs (טקטיקות, טכניקות ונהלים) הכוללים העמסת צד ופריסה של מעמיסי Cobalt Strike. בנוסף, גנב העוגיות Chome שנראה במתקפת LuminousMoth דומה לרכיב פגום של פעילויות קודמות של HoneyMyte. חפיפות בתשתית מספקות קישורים נוספים בין הקבוצות. כרגע לא ניתן לקבוע סופית אם LuminousMoth היא אכן קבוצת האקרים חדשה או שזו גרסה מחודשת של HoneyMyte המצוידת בארסנל חדש של כלים תוכנות זדוניות.