LuminousMoth APT

Onderzoekers hebben een grootschalige aanvalsoperatie ontdekt die ze toeschrijven aan een nieuwe APT-groep (Advanced Persistent Threat), genaamd LuminousMoth. APT-gerelateerde campagnes zijn doorgaans zeer gericht, waarbij de cybercriminelen de infectieketen en de ingezette malwarebedreigingen afstemmen op de specifieke entiteit die ze willen doorbreken. De LuminousMoth-aanval heeft echter een ongewoon hoog aantal slachtoffers gemaakt - ongeveer 100 in Myanmar en bijna 1400 in de Filippijnen. Het is meer dan waarschijnlijk dat de werkelijke doelen van de campagne een kleine subset van de gedetecteerde slachtoffers vertegenwoordigen. De hackers lijken op zoek te zijn naar overheidsinstanties uit zowel landen als het buitenland.

De infectieketen

De initiële infectievector lijkt een spear-phishing-e-mail te zijn met een Dropbox-downloadlink die naar een beschadigd bestand leidt. Het bestand doet zich voor als een Word-document, maar is een RAR-archief met twee gecompromitteerde DLL-bibliotheken en twee legitieme uitvoerbare bestanden die zijn belast met het side-loaden van de DLL's. De archieven gebruikten lokaasnamen als 'COVID-19 Case 12-11-2020(MOTC).rar' en 'DACU Projects.r01.' In Myanmar staat MOTC voor het Ministerie van Transport en Communicatie, terwijl DACU de Development Assitance Coordination Unit is.

Na de eerste doorbraak van het systeem gebruikt LuminousMoth een andere methode om zijwaarts te bewegen. De dreiging scant het besmette apparaat op verwisselbare media zoals USB-drives. Het creëert vervolgens verborgen mappen om geselecteerde bestanden op te slaan.

Hulpmiddelen na exploitatie

Op bepaalde gekozen doelen escaleerde LuminousMoth de aanval door extra bedreigende tools in te zetten. Infosec-onderzoekers merkten een stealer-dreiging op die zich voordoet als de populaire videoconferentietoepassing Zoom. Om legitimiteit toe te voegen, heeft de vermomming een geldige digitale handtekening en certificaat. Eenmaal geïnitieerd, scant de stealer het systeem van het slachtoffer op specifieke bestandsextensies en exfiltreert deze naar een Command-and-Control-server (C2, C&C).

De dreigingsactor leverde ook een Chrome-cookiestealer aan specifieke systemen. Het hulpprogramma heeft de lokale gebruikersnaam nodig om toegang te krijgen tot de twee bestanden met de gegevens waarnaar het zoekt. Na enkele tests te hebben uitgevoerd, hebben de cyberbeveiligingsonderzoekers vastgesteld dat het doel van deze tool is om de Gmail-sessies van de doelen te kapen en vervolgens na te bootsen.

Opgemerkt moet worden dat de LuminousMoth APT uitgebreid gebruik maakt van een Cobalt Strike-baken als een eindtraplading.

Is LuminousMoth een nieuwe bedreigingsacteur?

Het lijkt erop dat de aanvalscampagne van LuminousMoth enkele opvallende overeenkomsten vertoont met operaties die zijn uitgevoerd door een reeds gevestigde Chinees-gerelateerde APT genaamd HoneyMyte (Mustang Panda). Beide groepen vertonen vergelijkbare doelcriteria en TTP's (Tactics, Techniques en Procedures) die side-loading en de inzet van Cobalt Strike- laders omvatten. Bovendien lijkt de Chome-cookie-stealer die werd gezien in de LuminousMoth-aanval op een beschadigd onderdeel van eerdere HoneyMyte-activiteiten. Overlappingen in infrastructuur zorgen voor extra verbindingen tussen de groepen. Op dit moment kan niet definitief worden vastgesteld of LuminousMoth inderdaad een nieuwe hackergroep is of dat het een vernieuwde versie van HoneyMyte is die is uitgerust met een nieuw arsenaal aan malwaretools.