LuminousMoth APT

Pētnieki ir atklājuši liela mēroga uzbrukuma operāciju, ko viņi attiecina uz jaunu APT (Advanced Persistent Threat) grupu ar nosaukumu LuminousMoth. Ar APT saistītās kampaņas parasti ir īpaši vērstas uz kibernoziedzniekiem, kuri pielāgo inficēšanās ķēdi un izvietotās ļaunprogrammatūras draudus konkrētai vienībai, kuru tie cenšas pārkāpt. Tomēr LuminousMoth uzbrukums ir radījis neparasti lielu upuru skaitu - aptuveni 100 Mjanmā un gandrīz 1400 Filipīnās. Ir vairāk nekā iespējams, ka kampaņas faktiskie mērķi veido nelielu atklāto upuru apakškopu. Šķiet, ka hakeri meklē valdības struktūras gan no abām valstīm, gan ārvalstīm.

Infekcijas ķēde

Šķiet, ka sākotnējais infekcijas pārnēsātājs ir pikšķerēšanas e-pasts, kurā ir Dropbox lejupielādes saite, kas ved uz bojātu failu. Fails izliekas par Word dokumentu, taču tas ir RAR arhīvs, kurā ir divas apdraudētas DLL bibliotēkas un divi likumīgi izpildāmie faili, kuru uzdevums ir ielādēt DLL no sāniem. Arhīvos tika izmantoti tādi ēsmas nosaukumi kā “COVID-19 Case 12-11-2020(MOTC).rar” un “DACU Projects.r01”. Mjanmā MOTC apzīmē Transporta un sakaru ministriju, savukārt DACU ir Attīstības palīdzības koordinācijas vienība.

Pēc sākotnējā sistēmas pārkāpuma LuminousMoth izmanto citu metodi, lai pārvietotos uz sāniem. Draudi skenē apdraudēto ierīci, lai atrastu noņemamos datu nesējus, piemēram, USB diskus. Pēc tam tas izveido slēptos direktorijus atlasīto failu glabāšanai.

Pēcekspluatācijas rīki

Uz noteiktiem izvēlētiem mērķiem LuminousMoth pastiprināja uzbrukumu, izvietojot papildu apdraudošus rīkus. Infosec pētnieki pamanīja zagļu draudus, kas uzdodas par populāro videokonferenču lietojumprogrammu Zoom. Lai palielinātu leģitimitāti, maskēšanai ir derīgs ciparparaksts un sertifikāts. Kad tas ir uzsākts, zaglis skenē upura sistēmu, lai atrastu konkrētus failu paplašinājumus un izfiltrē tos Command-and-Control serverī (C2, C&C).

Apdraudējuma aktieris konkrētām sistēmām piegādāja arī Chrome sīkfailu zagļu. Rīkam ir nepieciešams vietējais lietotājvārds, lai piekļūtu diviem failiem, kas satur datus, pēc kuriem tas ir vajadzīgs. Pēc dažu testu veikšanas kiberdrošības pētnieki noteica, ka šī rīka mērķis ir nolaupīt un pēc tam uzdoties mērķu Gmail sesijām.

Jāatzīmē, ka LuminousMoth APT plaši izmanto Cobalt Strike bāku kā gala posma lietderīgo slodzi.

Vai LuminousMoth ir jauns draudu aktieris?

Šķiet, ka LuminousMoth uzbrukuma kampaņai ir dažas pārsteidzošas līdzības ar operācijām, ko veic jau izveidots ar Ķīnu saistīts APT ar nosaukumu HoneyMyte (Mustang Panda). Abām grupām ir līdzīgi mērķa kritēriji un TTP (taktika, paņēmieni un procedūras), kas ietver sānu ielādi un Cobalt Strike iekrāvēju izvietošanu. Turklāt LuminousMoth uzbrukumā redzamais Chome sīkfailu zaglis atgādina bojātu iepriekšējo HoneyMyte darbību sastāvdaļu. Infrastruktūras pārklāšanās nodrošina papildu saites starp grupām. Pašlaik nevar pārliecinoši noteikt, vai LuminousMoth patiešām ir jauna hakeru grupa vai arī tā ir HoneyMyte atjaunināta versija, kas aprīkota ar jaunu ļaunprātīgas programmatūras rīku arsenālu.