LuminousMoth APT

Istraživači su otkrili operaciju napada velikih razmjera koju pripisuju novoj skupini APT (Advanced Persistent Threat) pod nazivom LuminousMoth. Kampanje povezane s APT-om obično su visoko ciljane s kibernetičkim kriminalcima koji kroje lanac zaraze i implementiranim prijetnjama zlonamjernog softvera za određeni entitet koji žele probiti. Međutim, napad LuminousMotha proizveo je neobično velik broj žrtava - oko 100 u Mianmaru i blizu 1400 na Filipinima. Više je nego vjerojatno da stvarne mete kampanje predstavljaju mali podskup otkrivenih žrtava. Čini se da hakeri progone vladine subjekte iz obje zemlje, kao i iz inozemstva.

Lanac infekcije

Čini se da je početni vektor zaraze e-poruka za krađu identiteta koja sadrži vezu za preuzimanje Dropboxa koja vodi do oštećene datoteke. Datoteka se pretvara da je Word dokument, ali je RAR arhiva koja sadrži dvije kompromitirane DLL biblioteke i dvije legitimne izvršne datoteke koje imaju zadatak bočno učitavati DLL-ove. Arhivi su koristili nazive mamaca kao što su "COVID-19 Case 12-11-2020 (MOTC).rar" i "DACU Projects.r01". U Mianmaru, MOTC označava Ministarstvo prometa i komunikacija, dok je DACU Jedinica za koordinaciju razvojne pomoći.

Nakon početnog proboja sustava, LuminousMoth koristi drugačiju metodu za bočno kretanje. Prijetnja skenira kompromitirani uređaj u potrazi za prijenosnim medijima kao što su USB pogoni. Zatim stvara skrivene direktorije za pohranu odabranih datoteka.

Alati nakon eksploatacije

Na određenim odabranim ciljevima LuminousMoth je eskalirao napad primjenom dodatnih prijetećih alata. Istraživači Infoseca primijetili su prijetnju kradljivaca koja oponaša popularnu aplikaciju za video konferencije Zoom. Za dodatnu legitimnost, maska ima valjani digitalni potpis i certifikat. Jednom pokrenut, kradljivac skenira žrtvin sustav u potrazi za određenim ekstenzijama datoteka i eksfiltrira ih na poslužitelj za naredbu i kontrolu (C2, C&C).

Glumac prijetnje također je isporučio Chromeov alat za krađu kolačića određenim sustavima. Alat treba lokalno korisničko ime za pristup dvjema datotekama koje sadrže podatke koje traži. Nakon nekoliko testova, istraživači kibernetičke sigurnosti utvrdili su da je cilj ovog alata oteti, a zatim imitirati Gmail sesije ciljeva.

Valja napomenuti da LuminousMoth APT uvelike koristi Cobalt Strike beacon kao završnu fazu tereta.

Je li LuminousMoth novi glumac?

Čini se da kampanja napada LuminousMoth ima neke zapanjujuće sličnosti s operacijama koje provodi već uspostavljeni kineski APT pod nazivom HoneyMyte (Mustang Panda). Obje skupine prikazuju slične kriterije cilja i TTP-ove (taktike, tehnike i procedure) koji uključuju bočno opterećenje i postavljanje utovarivača Cobalt Strike. Osim toga, kradljivac kolačića Chome viđen u napadu LuminousMoth podsjeća na oštećenu komponentu prošlih HoneyMyte aktivnosti. Preklapanja u infrastrukturi pružaju dodatne veze između grupa. Trenutačno se ne može konačno utvrditi je li LuminousMoth doista nova hakerska grupa ili je to obnovljena verzija HoneyMytea opremljena novim arsenalom zlonamjernih alata.