LuminousMoth APT

Forskere har avdekket en storstilt angrepsoperasjon som de tilskriver en ny APT-gruppe (Advanced Persistent Threat) ved navn LuminousMoth. APT-relaterte kampanjer er vanligvis svært målrettede med nettkriminelle som skreddersyr infeksjonskjeden og de distribuerte skadevaretruslene til den spesifikke enheten de tar sikte på å bryte. LuminousMoth-angrepet har imidlertid produsert et uvanlig høyt antall ofre – rundt 100 i Myanmar og nærmere 1400 på Filippinene. Det er mer enn sannsynlig at de faktiske målene for kampanjen representerer en liten undergruppe av de oppdagede ofrene. Hackerne ser ut til å være etter statlige enheter fra begge land så vel som i utlandet.

Infeksjonskjeden

Den første infeksjonsvektoren ser ut til å være en spyd-phishing-e-post som inneholder en Dropbox-nedlastingskobling som fører til en ødelagt fil. Filen utgir seg for å være et Word-dokument, men er et RAR-arkiv som inneholder to kompromitterte DLL-biblioteker og to legitime kjørbare filer som har til oppgave å sidelaste DLL-ene. Arkivene brukte agnnavn som 'COVID-19 Case 12-11-2020(MOTC).rar' og 'DACU Projects.r01.' I Myanmar står MOTC for transport- og kommunikasjonsdepartementet, mens DACU er koordineringsenheten for utviklingshjelp.

Etter det første bruddet på systemet, bruker LuminousMoth en annen metode for å bevege seg sidelengs. Trusselen skanner den kompromitterte enheten for flyttbare medier som USB-stasjoner. Den lager deretter skjulte kataloger for å lagre utvalgte filer.

Verktøy etter utnyttelse

På visse utvalgte mål eskalerte LuminousMoth angrepet ved å distribuere flere truende verktøy. Infosec-forskere la merke til en tyverstrussel som etterligner den populære videokonferanseapplikasjonen Zoom. For å legge til legitimitet har forkledningen en gyldig digital signatur og sertifikat. Når den er startet, skanner stjeleren offerets system for spesifikke filutvidelser og eksfiltrerer dem til en Command-and-Control-server (C2, C&C).

Trusselaktøren leverte også en Chrome-informasjonskapselstyver til bestemte systemer. Verktøyet trenger det lokale brukernavnet for å få tilgang til de to filene som inneholder dataene det er ute etter. Etter å ha kjørt noen tester, bestemte cybersikkerhetsforskerne at målet med dette verktøyet er å kapre og deretter etterligne Gmail-øktene til målene.

Det bør bemerkes at LuminousMoth APT i stor grad bruker et Cobalt Strike-fyr som en nyttelast i sluttfasen.

Er LuminousMoth en ny trusselskuespiller?

Det ser ut til at LuminousMoth-angrepskampanjen har noen slående likheter med operasjoner utført av en allerede etablert kinesisk-relatert APT ved navn HoneyMyte (Mustang Panda). Begge gruppene viser lignende målkriterier og TTP-er (taktikk, teknikker og prosedyrer) som inkluderer sidelasting og utplassering av Cobalt Strike- lastere. I tillegg ligner Chome-kjekstyveren som ble sett i LuminousMoth-angrepet en ødelagt komponent av tidligere HoneyMyte-aktiviteter. Overlapping i infrastruktur gir ytterligere koblinger mellom gruppene. For øyeblikket kan det ikke endelig fastslås om LuminousMoth faktisk er en ny hackergruppe eller om det er en fornyet versjon av HoneyMyte utstyrt med et nytt arsenal av skadevareverktøy.