LuminousMoth APT

I ricercatori hanno scoperto un'operazione di attacco su larga scala che attribuiscono a un nuovo gruppo APT (Advanced Persistent Threat) chiamato LuminousMoth. Le campagne relative ad APT sono in genere altamente mirate con i criminali informatici che adattano la catena di infezione e le minacce malware distribuite all'entità specifica che intendono violare. Tuttavia, l'attacco di LuminousMoth ha prodotto un numero insolitamente alto di vittime: circa 100 in Myanmar e quasi 1400 nelle Filippine. È più che probabile che gli obiettivi effettivi della campagna rappresentino un piccolo sottoinsieme delle vittime rilevate. Gli hacker sembrano inseguire entità governative di entrambi i paesi e all'estero.

La catena dell'infezione

Il vettore di infezione iniziale sembra essere un'e-mail di spear-phishing contenente un link per il download di Dropbox che porta a un file danneggiato. Il file finge di essere un documento Word ma è un archivio RAR contenente due librerie DLL compromesse e due eseguibili legittimi incaricati di caricare lateralmente le DLL. Gli archivi utilizzavano nomi di esche come "COVID-19 Case 12-11-2020(MOTC).rar" e "DACU Projects.r01". In Myanmar, MOTC sta per Ministero dei Trasporti e delle Comunicazioni, mentre DACU è l'Unità di coordinamento dell'assistenza allo sviluppo.

Dopo la violazione iniziale del sistema, LuminousMoth utilizza un metodo diverso per spostarsi lateralmente. La minaccia esegue la scansione del dispositivo compromesso alla ricerca di supporti rimovibili come unità USB. Quindi crea directory nascoste per memorizzare i file selezionati.

Strumenti post-sfruttamento

Su determinati bersagli scelti, LuminousMoth ha intensificato l'attacco dispiegando ulteriori strumenti minacciosi. I ricercatori di Infosec hanno notato una minaccia di furto che impersona la popolare applicazione di videoconferenza Zoom. Per aggiungere legittimità, il travestimento ha una firma digitale e un certificato validi. Una volta avviato, il ladro esegue la scansione del sistema della vittima alla ricerca di estensioni di file specifiche e le esfiltra su un server di comando e controllo (C2, C&C).

L'attore delle minacce ha anche fornito un ladro di cookie Chrome a sistemi specifici. Lo strumento ha bisogno del nome utente locale per accedere ai due file contenenti i dati che cerca. Dopo aver eseguito alcuni test, i ricercatori della sicurezza informatica hanno stabilito che l'obiettivo di questo strumento è dirottare e quindi impersonare le sessioni di Gmail degli obiettivi.

Va notato che l'APT LuminousMoth utilizza ampiamente un beacon Cobalt Strike come carico utile dello stadio finale.

LuminousMoth è un nuovo attore di minacce?

Sembra che la campagna di attacco di LuminousMoth abbia alcune sorprendenti somiglianze con le operazioni svolte da un APT cinese già affermato chiamato HoneyMyte (Mustang Panda). Entrambi i gruppi mostrano criteri di destinazione e TTP simili (tattiche, tecniche e procedure) che includono il caricamento laterale e lo schieramento di caricatori Cobalt Strike. Inoltre, il ladro di cookie Chome visto nell'attacco LuminousMoth assomiglia a un componente corrotto delle passate attività di HoneyMyte. Le sovrapposizioni nell'infrastruttura forniscono collegamenti aggiuntivi tra i gruppi. Al momento non è possibile determinare in modo definitivo se LuminousMoth sia davvero un nuovo gruppo di hacker o se si tratti di una versione rinnovata di HoneyMyte dotata di un nuovo arsenale di strumenti malware.