LuminousMoth APT

शोधकर्ताओं ने एक बड़े पैमाने पर हमले के ऑपरेशन का खुलासा किया है जिसका श्रेय वे ल्यूमिनसमोथ नामक एक नए एपीटी (एडवांस्ड पर्सिस्टेंट थ्रेट) समूह को देते हैं। एपीटी-संबंधित अभियान आमतौर पर साइबर अपराधियों के साथ अत्यधिक लक्षित होते हैं जो संक्रमण श्रृंखला को तैयार करते हैं और तैनात मैलवेयर उस विशिष्ट इकाई को खतरे में डालते हैं जिसका वे उल्लंघन करना चाहते हैं। हालांकि, ल्यूमिनसमोथ हमले ने पीड़ितों की असामान्य रूप से बड़ी संख्या का उत्पादन किया है - म्यांमार में लगभग 100 और फिलीपींस में 1400 के करीब। यह संभावना से कहीं अधिक है कि अभियान के वास्तविक लक्ष्य खोजे गए पीड़ितों के एक छोटे उपसमूह का प्रतिनिधित्व करते हैं। हैकर्स दोनों देशों के साथ-साथ विदेशों में भी सरकारी संस्थाओं के पीछे लग रहे हैं।

संक्रमण श्रृंखला

प्रारंभिक संक्रमण वेक्टर एक भाला-फ़िशिंग ईमेल प्रतीत होता है जिसमें एक ड्रॉपबॉक्स डाउनलोड लिंक होता है जो दूषित फ़ाइल की ओर ले जाता है। फ़ाइल एक वर्ड दस्तावेज़ होने का दिखावा करती है लेकिन एक आरएआर संग्रह है जिसमें दो समझौता डीएलएल पुस्तकालय और दो वैध निष्पादन योग्य डीएलएल को साइड-लोड करने के साथ काम करते हैं। अभिलेखागार में 'COVID-19 केस 12-11-2020 (MOTC.rar') और 'DACU Projects.r01' जैसे चारा नामों का इस्तेमाल किया गया। म्यांमार में, MOTC परिवहन और संचार मंत्रालय के लिए खड़ा है, जबकि DACU विकास सहायता समन्वय इकाई है।

सिस्टम के प्रारंभिक उल्लंघन के बाद, LuminousMoth बग़ल में चलने के लिए एक अलग विधि का उपयोग करता है। खतरा यूएसबी ड्राइव जैसे हटाने योग्य मीडिया के लिए समझौता किए गए डिवाइस को स्कैन करता है। इसके बाद यह चुनिंदा फाइलों को स्टोर करने के लिए हिडन डाइरेक्टरी बनाता है।

शोषण के बाद के उपकरण

कुछ चुने हुए लक्ष्यों पर, LuminousMoth ने अतिरिक्त धमकी देने वाले उपकरणों को तैनात करके हमले को बढ़ा दिया। इन्फोसेक के शोधकर्ताओं ने एक चोरी करने वाले खतरे को देखा जो लोकप्रिय वीडियो कॉन्फ्रेंस एप्लिकेशन ज़ूम का प्रतिरूपण करता है। वैधता जोड़ने के लिए, भेस में एक वैध डिजिटल हस्ताक्षर और प्रमाणपत्र है। एक बार शुरू करने के बाद, चोरी करने वाला विशिष्ट फ़ाइल एक्सटेंशन के लिए पीड़ित के सिस्टम को स्कैन करता है और उन्हें एक कमांड-एंड-कंट्रोल सर्वर (C2, C&C) में भेजता है।

धमकी देने वाले अभिनेता ने विशिष्ट प्रणालियों के लिए एक क्रोम कुकी चोरी करने वाला भी दिया। उपकरण को दो फाइलों तक पहुंचने के लिए स्थानीय उपयोगकर्ता नाम की आवश्यकता होती है जिसमें वह डेटा होता है। कुछ परीक्षण चलाने के बाद, साइबर सुरक्षा शोधकर्ताओं ने निर्धारित किया कि इस उपकरण का लक्ष्य लक्ष्य के जीमेल सत्रों को हाईजैक करना और फिर उनका प्रतिरूपण करना है।

यह ध्यान दिया जाना चाहिए कि LuminousMoth APT बड़े पैमाने पर कोबाल्ट स्ट्राइक बीकन का उपयोग अंतिम चरण के पेलोड के रूप में करता है।

क्या ल्यूमिनसमोथ एक नया खतरा अभिनेता है?

ऐसा लगता है कि LuminousMoth हमले के अभियान में पहले से ही स्थापित चीनी-संबंधित APT जिसका नाम HoneyMyte (मस्टैंग पांडा) है, द्वारा किए गए संचालन के लिए कुछ हड़ताली समानताएँ हैं। दोनों समूह समान लक्ष्य मानदंड और टीटीपी (रणनीति, तकनीक और प्रक्रिया) प्रदर्शित करते हैं जिसमें साइड-लोडिंग और कोबाल्ट स्ट्राइक लोडर की तैनाती शामिल है। इसके अलावा, ल्यूमिनसमोथ हमले में देखा गया चोम कुकी चोरी करने वाला हनीमाईट की पिछली गतिविधियों के एक दूषित घटक जैसा दिखता है। बुनियादी ढांचे में ओवरलैप समूहों के बीच अतिरिक्त लिंक प्रदान करते हैं। फिलहाल यह निर्णायक रूप से निर्धारित नहीं किया जा सकता है कि क्या LuminousMoth वास्तव में एक नया हैकर समूह है या यदि यह HoneyMyte का एक नया संस्करण है जो मैलवेयर टूल के नए शस्त्रागार से लैस है।