LuminousMoth APT

A kutatók egy nagyszabású támadást fedeztek fel, amelyet egy új APT (Advanced Persistent Threat) csoportnak, a LuminousMothnak tulajdonítanak. Az APT-vel kapcsolatos kampányok jellemzően nagymértékben megcélozzák a kiberbűnözőket, akik a fertőzési láncot és a telepített rosszindulatú programfenyegetéseket arra a konkrét entitásra szabják, amelyet meg akarnak törni. A LuminousMoth támadás azonban szokatlanul sok áldozatot hozott – mintegy 100-at Mianmarban és közel 1400-at a Fülöp-szigeteken. Több mint valószínű, hogy a kampány tényleges célpontjai az észlelt áldozatok egy kis részét képviselik. Úgy tűnik, hogy a hackerek mindkét ország és külföld kormányzati szerveit keresik.

A fertőzési lánc

Úgy tűnik, hogy a fertőzés kezdeti vektora egy adathalász e-mail, amely egy sérült fájlhoz vezető Dropbox letöltési hivatkozást tartalmaz. A fájl Word-dokumentumnak tűnik, de egy RAR-archívum, amely két feltört DLL-könyvtárat és két legitim végrehajtható fájlt tartalmaz, amelyek a DLL-ek oldalsó betöltését végzik. Az archívum csalineveket használt, például „COVID-19 Case 12-11-2020(MOTC).rar” és „DACU Projects.r01”. Mianmarban a MOTC a Közlekedési és Kommunikációs Minisztériumot jelenti, míg a DACU a Fejlesztési Támogatási Koordinációs Egység.

A rendszer kezdeti megsértése után a LuminousMoth más módszert alkalmaz az oldalirányú mozgáshoz. A fenyegetés átvizsgálja a feltört eszközt cserélhető adathordozók, például USB-meghajtók után. Ezután rejtett könyvtárakat hoz létre a kiválasztott fájlok tárolására.

Kihasználás utáni eszközök

Bizonyos kiválasztott célpontokon a LuminousMoth további fenyegető eszközök bevetésével fokozta a támadást. Az Infosec kutatói egy lopási fenyegetést észleltek, amely a népszerű Zoom videokonferencia-alkalmazást adja ki. A legitimitás növelése érdekében az álcának érvényes digitális aláírása és tanúsítványa van. A kezdeményezést követően a tolvaj átvizsgálja az áldozat rendszerét bizonyos fájlkiterjesztések után, és kiszűri azokat egy Command-and-Control szerverre (C2, C&C).

A fenyegetőző egy Chrome cookie-lopót is szállított bizonyos rendszereknek. Az eszköznek szüksége van a helyi felhasználónévre, hogy hozzáférjen az általa keresett adatokat tartalmazó két fájlhoz. Néhány teszt futtatása után a kiberbiztonsági kutatók megállapították, hogy ennek az eszköznek a célja a célpontok Gmail-munkameneteinek eltérítése, majd megszemélyesítése.

Meg kell jegyezni, hogy a LuminousMoth APT széles körben használ Cobalt Strike jeladót a végfokozat rakományaként.

A LuminousMoth új fenyegető színész?

Úgy tűnik, hogy a LuminousMoth támadási kampány megdöbbentő hasonlóságot mutat a HoneyMyte (Mustang Panda) nevű, kínai vonatkozású APT által végrehajtott műveletekkel. Mindkét csoport hasonló célfeltételeket és TTP-ket (Tactics, Techniques és Procedures) jelenít meg, amelyek magukban foglalják az oldalsó betöltést és a Cobalt Strike rakodók telepítését. Ezenkívül a LuminousMoth támadásban látott Chome cookie-lopó a korábbi HoneyMyte-tevékenységek sérült összetevőjére hasonlít. Az infrastruktúra átfedése további kapcsolatokat biztosít a csoportok között. Jelenleg nem lehet véglegesen meghatározni, hogy a LuminousMoth valóban egy új hackercsoport, vagy a HoneyMyte felújított változata, amely a rosszindulatú programok új arzenáljával van felszerelve.