LuminousMoth APT

Penyelidik telah menemui operasi serangan berskala besar yang mereka kaitkan kepada kumpulan APT (Advanced Persistent Threat) baharu bernama LuminousMoth. Kempen berkaitan APT biasanya sangat disasarkan dengan penjenayah siber yang menyesuaikan rantaian jangkitan dan ancaman perisian hasad yang digunakan kepada entiti tertentu yang mereka sasarkan untuk dilanggar. Walau bagaimanapun, serangan LuminousMoth telah menghasilkan jumlah mangsa yang luar biasa tinggi - sekitar 100 di Myanmar dan hampir 1400 di Filipina. Besar kemungkinan sasaran sebenar kempen mewakili subset kecil mangsa yang dikesan. Penggodam nampaknya mengejar entiti kerajaan dari kedua-dua negara dan juga luar negara.

Rantaian Jangkitan

Vektor jangkitan awal kelihatan seperti e-mel pancingan lembing yang mengandungi pautan muat turun Dropbox yang membawa kepada fail yang rosak. Fail itu berpura-pura sebagai dokumen Word tetapi merupakan arkib RAR yang mengandungi dua perpustakaan DLL yang terjejas dan dua boleh laku yang sah yang ditugaskan untuk memuatkan sisi DLL. Arkib menggunakan nama umpan seperti 'COVID-19 Case 12-11-2020(MOTC).rar' dan 'DACU Projects.r01.' Di Myanmar, MOTC bermaksud Kementerian Pengangkutan dan Komunikasi, manakala DACU ialah Unit Penyelarasan Bantuan Pembangunan.

Selepas pelanggaran awal sistem, LuminousMoth menggunakan kaedah berbeza untuk bergerak ke sisi. Ancaman mengimbas peranti yang terjejas untuk mencari media boleh tanggal seperti pemacu USB. Ia kemudian mencipta direktori tersembunyi untuk menyimpan fail terpilih.

Alat Pasca Eksploitasi

Pada sasaran tertentu yang dipilih, LuminousMoth meningkatkan serangan dengan menggunakan alat ancaman tambahan. Penyelidik Infosec menyedari ancaman pencuri yang menyamar sebagai aplikasi persidangan video popular Zoom. Untuk menambah kesahihan, penyamaran itu mempunyai tandatangan dan sijil digital yang sah. Setelah dimulakan, pencuri mengimbas sistem mangsa untuk mendapatkan sambungan fail tertentu dan mengeluarkannya ke pelayan Perintah-dan-Kawalan (C2, C&C).

Pelakon ancaman itu juga menghantar pencuri kuki Chrome kepada sistem tertentu. Alat ini memerlukan nama pengguna setempat untuk mengakses kedua-dua fail yang mengandungi data selepasnya. Selepas menjalankan beberapa ujian, penyelidik keselamatan siber menentukan bahawa matlamat alat ini adalah untuk merampas dan kemudian menyamar sebagai sesi Gmail sasaran.

Perlu diingatkan bahawa LuminousMoth APT secara meluas menggunakan suar Cobalt Strike sebagai muatan peringkat akhir.

Adakah LuminousMoth Pelakon Ancaman Baharu?

Nampaknya kempen serangan LuminousMoth mempunyai beberapa persamaan yang ketara dengan operasi yang dijalankan oleh APT berkaitan Cina yang telah pun ditubuhkan bernama HoneyMyte (Mustang Panda). Kedua-dua kumpulan memaparkan kriteria sasaran dan TTP (Taktik, Teknik dan Prosedur) yang serupa yang termasuk pemuatan sisi dan penggunaan pemuat Cobalt Strike. Selain itu, pencuri kuki Chome yang dilihat dalam serangan LuminousMoth menyerupai komponen yang rosak dalam aktiviti HoneyMyte yang lalu. Pertindihan dalam infrastruktur memberikan hubungan tambahan antara kumpulan. Pada masa ini ia tidak dapat ditentukan secara konklusif sama ada LuminousMoth sememangnya kumpulan penggodam baharu atau jika ia adalah versi HoneyMyte yang telah diubah suai yang dilengkapi dengan senjata baharu alat perisian hasad.

Trending

Paling banyak dilihat

Memuatkan...