루미너스모스 APT

연구원들은 LuminousMoth라는 새로운 APT(Advanced Persistent Threat) 그룹에 기인한 대규모 공격 작업을 발견했습니다. APT 관련 캠페인은 일반적으로 사이버 범죄자가 침입하려는 특정 엔터티에 대해 감염 사슬과 배포된 맬웨어 위협을 조정하는 고도로 표적이 됩니다. 그러나 LuminousMoth 공격으로 인해 미얀마에서 약 100명, 필리핀에서 약 1400명에 이르는 비정상적으로 많은 희생자가 발생했습니다. 캠페인의 실제 목표는 탐지된 희생자의 일부일 가능성이 높습니다. 해커들은 양국은 물론 해외 정부 기관을 노리는 것으로 보입니다.

감염 사슬

초기 감염 벡터는 손상된 파일로 이어지는 Dropbox 다운로드 링크가 포함된 스피어 피싱 이메일로 보입니다. 이 파일은 Word 문서인 것처럼 가장하지만 두 개의 손상된 DLL 라이브러리와 DLL을 사이드로드하는 작업을 수행하는 두 개의 합법적인 실행 파일을 포함하는 RAR 아카이브입니다. 아카이브는 'COVID-19 Case 12-11-2020(MOTC).rar', 'DACU Projects.r01'과 같은 미끼명을 사용했다. 미얀마에서 MOTC는 교통통신부를, DACU는 개발 지원 조정 부서를 의미합니다.

시스템의 초기 위반 후 LuminousMoth는 옆으로 이동하기 위해 다른 방법을 사용합니다. 위협 요소는 손상된 장치에서 USB 드라이브와 같은 이동식 미디어를 검색합니다. 그런 다음 선택한 파일을 저장할 숨겨진 디렉터리를 만듭니다.

공격 후 도구

특정 대상에 대해 LuminousMoth는 위협적인 도구를 추가로 배치하여 공격을 확대했습니다. Infosec 연구원들은 인기 있는 화상 회의 애플리케이션 Zoom을 사칭하는 스틸러 위협을 발견했습니다. 합법성을 추가하기 위해 disguise에는 유효한 디지털 서명과 인증서가 있습니다. 일단 시작되면, 스틸러는 피해자의 시스템에서 특정 파일 확장자를 검색하고 이를 Command-and-Control 서버(C2, C&C)로 추출합니다.

공격자는 또한 특정 시스템에 Chrome 쿠키 스틸러를 전달했습니다. 이 도구는 뒤에 오는 데이터가 포함된 두 파일에 액세스하려면 로컬 사용자 이름이 필요합니다. 몇 가지 테스트를 실행한 후 사이버 보안 연구원은 이 도구의 목표가 대상의 Gmail 세션을 가로채고 가장하는 것이라고 결정했습니다.

LuminousMoth APT는 Cobalt Strike 비컨을 최종 페이로드로 광범위하게 사용합니다.

LuminousMoth는 새로운 위협 행위자입니까?

LuminousMoth 공격 캠페인은 HoneyMyte(Mustang Panda)라는 이미 설립된 중국 관련 APT가 수행하는 작업과 몇 가지 놀라운 유사점을 가지고 있는 것 같습니다. 두 그룹 모두 Cobalt Strike 로더의 사이드 로딩 및 배포를 포함하는 유사한 목표 기준 및 TTP(전술, 기술 및 절차)를 표시합니다. 또한 LuminousMoth 공격에서 볼 수 있는 Chome 쿠키 스틸러는 과거 HoneyMyte 활동의 손상된 구성 요소와 유사합니다. 인프라의 중복은 그룹 간에 추가 링크를 제공합니다. 현재 LuminousMoth가 새로운 해커 그룹인지 아니면 새로운 맬웨어 도구를 갖춘 HoneyMyte의 개조된 버전인지 결정적으로 결정할 수 없습니다.