LuminousMoth APT

Tyrėjai atskleidė didelio masto atakos operaciją, kurią jie priskiria naujai APT (Advanced Persistent Threat) grupei, pavadintai LuminousMoth. Su APT susijusios kampanijos paprastai yra nukreiptos į kibernetinius nusikaltėlius, kurie pritaiko infekcijos grandinę ir įdiegtas kenkėjiškų programų grėsmes konkrečiam subjektui, kurį jie siekia pažeisti. Tačiau LuminousMoth ataka pareikalavo neįprastai daug aukų – apie 100 Mianmare ir beveik 1400 Filipinuose. Daugiau nei tikėtina, kad tikrieji kampanijos tikslai sudaro nedidelį aptiktų aukų pogrupį. Panašu, kad įsilaužėliai ieško vyriausybinių subjektų iš abiejų šalių ir užsienio.

Infekcijos grandinė

Atrodo, kad pradinis infekcijos vektorius yra sukčiavimo el. laiškas, kuriame yra „Dropbox“ atsisiuntimo nuoroda, vedanti į sugadintą failą. Failas apsimeta Word dokumentu, bet yra RAR archyvas, kuriame yra dvi pažeistos DLL bibliotekos ir du teisėti vykdomieji failai, kurių užduotis yra įkelti DLL iš šono. Archyvuose buvo naudojami masalo pavadinimai, pvz., „COVID-19 atvejis 12-11-2020(MOTC).rar“ ir „DACU Projects.r01“. Mianmare MOTC reiškia Transporto ir ryšių ministeriją, o DACU yra plėtros pagalbos koordinavimo padalinys.

Po pirminio sistemos pažeidimo LuminousMoth taiko kitokį judėjimo į šoną metodą. Grėsmė nuskaito pažeistą įrenginį, ieškodama keičiamųjų laikmenų, pvz., USB atmintinių. Tada jis sukuria paslėptus katalogus, kuriuose saugomi pasirinkti failai.

Įrankiai po eksploatavimo

Tam tikruose pasirinktuose taikiniuose „LuminousMoth“ padidino ataką panaudodama papildomus grėsmingus įrankius. „Infosec“ tyrėjai pastebėjo vagystės grėsmę, kuri apsimeta populiaria vaizdo konferencijų programa „Zoom“. Siekiant padidinti teisėtumą, maskuotė turi galiojantį skaitmeninį parašą ir sertifikatą. Pradėjus jį, vagystė nuskaito aukos sistemą, ieškodama konkrečių failų plėtinių, ir išfiltruoja juos į komandų ir valdymo serverį (C2, C&C).

Grėsmės veikėjas taip pat pateikė „Chrome“ slapukų vagystę konkrečioms sistemoms. Įrankiui reikia vietinio vartotojo vardo, kad būtų galima pasiekti du failus, kuriuose yra jo ieškomi duomenys. Atlikę kai kuriuos bandymus, kibernetinio saugumo tyrėjai nustatė, kad šio įrankio tikslas yra užgrobti ir apsimesti taikinių Gmail seansais.

Reikėtų pažymėti, kad LuminousMoth APT plačiai naudoja Cobalt Strike švyturį kaip paskutinės pakopos naudingąją apkrovą.

Ar LuminousMoth yra naujas grėsmės aktorius?

Atrodo, kad „LuminousMoth“ atakos kampanija turi ryškių panašumų su operacijomis, kurias vykdo jau sukurta su Kinija susijusi APT, pavadinta „HoneyMyte“ („Mustang Panda“). Abi grupės rodo panašius tikslinius kriterijus ir TTP (taktikos, technikos ir procedūrų), kurios apima šoninį pakrovimą ir „ Cobalt Strike“ krautuvų diegimą. Be to, „Chome“ slapukų vagis, pastebėtas „LuminousMoth“ atakoje, primena sugadintą ankstesnės „HoneyMyte“ veiklos komponentą. Infrastruktūros sutapimai sukuria papildomus ryšius tarp grupių. Šiuo metu negalima galutinai nustatyti, ar LuminousMoth iš tiesų yra nauja įsilaužėlių grupė, ar tai atnaujinta HoneyMyte versija, aprūpinta nauju kenkėjiškų programų arsenalu.