LuminousMoth APT

अन्वेषकहरूले ठूलो मात्रामा आक्रमण अपरेशन पत्ता लगाएका छन् जुन उनीहरूले लुमिनसमोथ नामको नयाँ एपीटी (एडभान्स्ड पर्सिस्टेन्ट थ्रेट) समूहलाई श्रेय दिन्छन्। APT-सम्बन्धित अभियानहरू सामान्यतया उच्च रूपमा लक्षित हुन्छन् साइबर अपराधीहरूले संक्रमण चेनलाई टेलर गर्ने र तिनीहरूले उल्लङ्घन गर्ने लक्ष्य राखेको विशिष्ट निकायमा मालवेयर धम्कीहरू लगाइन्छ। यद्यपि, LuminousMoth आक्रमणले असामान्य रूपमा उच्च संख्यामा पीडितहरू उत्पादन गरेको छ - म्यानमारमा लगभग 100 र फिलिपिन्समा 1400 को नजिक। यो अभियानको वास्तविक लक्ष्यहरूले पत्ता लगाइएका पीडितहरूको सानो उपसमूहलाई प्रतिनिधित्व गर्ने सम्भावना बढी छ। ह्याकरहरू दुबै देशका साथै विदेशका सरकारी संस्थाहरू पछि लाग्ने देखिन्छ।

संक्रमण श्रृंखला

प्रारम्भिक संक्रमण भेक्टर एक भाला-फिसिङ इमेल जस्तो देखिन्छ जसमा ड्रपबक्स डाउनलोड लिङ्क भ्रष्ट फाइलमा जान्छ। फाइलले Word कागजात भएको बहाना गर्छ तर दुईवटा सम्झौता गरिएका DLL पुस्तकालयहरू र DLL हरूलाई साइड-लोड गर्ने काममा दुई वैध कार्यान्वयनयोग्यहरू समावेश गर्ने RAR सङ्ग्रह हो। अभिलेखहरूले 'COVID-19 Case 12-11-2020(MOTC).rar' र 'DACU Projects.r01' जस्ता चारा नामहरू प्रयोग गरे। म्यानमारमा, MOTC भनेको यातायात र सञ्चार मन्त्रालय हो, जबकि DACU विकास सहायता समन्वय इकाई हो।

प्रणालीको प्रारम्भिक उल्लङ्घन पछि, LuminousMoth ले साइडवे सार्नको लागि फरक तरिका प्रयोग गर्दछ। धम्कीले USB ड्राइभहरू जस्ता हटाउन सकिने मिडियाका लागि सम्झौता गरिएको यन्त्र स्क्यान गर्दछ। यसले त्यसपछि चयन गरिएका फाइलहरू भण्डारण गर्न लुकेका डाइरेक्टरीहरू सिर्जना गर्दछ।

पोस्ट-शोषण उपकरणहरू

केहि चुनिएका लक्ष्यहरूमा, लुमिनसमोथले थप धम्की दिने उपकरणहरू प्रयोग गरेर आक्रमणलाई बढायो। इन्फोसेक अन्वेषकहरूले लोकप्रिय भिडियो कन्फरेन्स एप्लिकेसन जुमको नक्कल गर्ने चोर्ने खतरा देखे। वैधता थप्नको लागि, भेषमा मान्य डिजिटल हस्ताक्षर र प्रमाणपत्र छ। एकचोटि प्रारम्भ गरेपछि, चोरले विशेष फाइल एक्सटेन्सनको लागि पीडितको प्रणाली स्क्यान गर्दछ र तिनीहरूलाई कमाण्ड-एन्ड-कन्ट्रोल सर्भर (C2, C&C) मा निकाल्छ।

धम्की अभिनेताले विशिष्ट प्रणालीहरूमा क्रोम कुकी स्टिलर पनि डेलिभर गर्यो। उपकरणलाई स्थानीय प्रयोगकर्ता नाम चाहिन्छ जुन दुई फाइलहरूमा पहुँच छ जुन यो पछि छ। केही परीक्षणहरू चलाएर, साइबरसुरक्षा अनुसन्धानकर्ताहरूले निर्धारण गरे कि यो उपकरणको लक्ष्य हाइज्याक र त्यसपछि लक्ष्यहरूको Gmail सत्रहरूको प्रतिरूपण हो।

यो ध्यान दिनुपर्छ कि LuminousMoth APT ले कोबाल्ट स्ट्राइक बीकनलाई अन्तिम चरणको पेलोडको रूपमा व्यापक रूपमा प्रयोग गर्दछ।

के LuminousMoth एक नयाँ खतरा अभिनेता हो?

यस्तो देखिन्छ कि LuminousMoth आक्रमण अभियान HoneyMyte (Mustang Panda) नामको पहिले नै स्थापित चिनियाँ-सम्बन्धित APT द्वारा गरिएको अपरेसनहरूसँग केही उल्लेखनीय समानताहरू छन्। दुबै समूहहरूले समान लक्ष्य मापदण्ड र TTPs (रणनीति, प्रविधिहरू, र प्रक्रियाहरू) प्रदर्शन गर्दछ जसमा साइड-लोडिङ र कोबाल्ट स्ट्राइक लोडरहरूको तैनाती समावेश छ। थप रूपमा, LuminousMoth आक्रमणमा देखाइएको Chome कुकी चोरले विगतका HoneyMyte गतिविधिहरूको भ्रष्ट घटक जस्तै देखिन्छ। पूर्वाधारमा ओभरल्यापहरूले समूहहरू बीच थप लिङ्कहरू प्रदान गर्दछ। यस क्षणमा यो निर्णायक रूपमा निर्धारण गर्न सकिँदैन कि यदि LuminousMoth वास्तवमै नयाँ ह्याकर समूह हो वा यदि यो मालवेयर उपकरणहरूको नयाँ शस्त्रागारले सुसज्जित HoneyMyte को परिमार्जन गरिएको संस्करण हो।