LuminousMoth APT

Naukowcy odkryli operację ataku na dużą skalę, którą przypisują nowej grupie APT (Advanced Persistent Threat) o nazwie LuminousMoth. Kampanie związane z APT są zazwyczaj silnie ukierunkowane, a cyberprzestępcy dostosowują łańcuch infekcji i wdrożone zagrożenia złośliwym oprogramowaniem do konkretnego podmiotu, który zamierzają włamać. Jednak atak LuminousMoth spowodował niezwykle dużą liczbę ofiar – około 100 w Birmie i blisko 1400 na Filipinach. Jest więcej niż prawdopodobne, że rzeczywiste cele kampanii stanowią niewielki podzbiór wykrytych ofiar. Hakerzy wydają się ścigać podmioty rządowe z obu krajów, a także z zagranicy.

Łańcuch infekcji

Wygląda na to, że początkowym wektorem infekcji jest wiadomość e-mail typu spear phishing zawierająca łącze pobierania Dropbox prowadzące do uszkodzonego pliku. Plik udaje dokument Worda, ale jest archiwum RAR zawierającym dwie skompromitowane biblioteki DLL i dwa legalne pliki wykonywalne, których zadaniem jest boczne ładowanie bibliotek DLL. W archiwach używano nazw przynęt, takich jak „COVID-19 Case 12-11-2020(MOTC).rar" i „DACU Projects.r01". W Birmie MOTC oznacza Ministerstwo Transportu i Komunikacji, a DACU to Jednostka Koordynacji Pomocy Rozwojowej.

Po początkowym naruszeniu systemu LuminousMoth stosuje inną metodę poruszania się na boki. Zagrożenie skanuje zaatakowane urządzenie w poszukiwaniu nośników wymiennych, takich jak dyski USB. Następnie tworzy ukryte katalogi do przechowywania wybranych plików.

Narzędzia poeksploatacyjne

W przypadku niektórych wybranych celów LuminousMoth eskalował atak, wdrażając dodatkowe narzędzia grożące. Badacze Infosec zauważyli zagrożenie kradzieżą podszywające się pod popularną aplikację wideokonferencyjną Zoom. Aby dodać legalności, przebranie ma ważny podpis cyfrowy i certyfikat. Po zainicjowaniu, złodziej skanuje system ofiary w poszukiwaniu określonych rozszerzeń plików i przenosi je na serwer Command-and-Control (C2, C&C).

Ten cyberprzestępca dostarczył również do określonych systemów narzędzie do kradzieży plików cookie Chrome. Narzędzie potrzebuje lokalnej nazwy użytkownika, aby uzyskać dostęp do dwóch plików zawierających dane, których szuka. Po przeprowadzeniu kilku testów analitycy cyberbezpieczeństwa ustalili, że celem tego narzędzia jest przejęcie, a następnie podszycie się pod sesje Gmaila celów.

Należy zauważyć, że APT LuminousMoth intensywnie wykorzystuje latarnię morską Cobalt Strike jako ładunek na końcowym etapie.

Czy LuminousMoth jest nowym zagrożeniem?

Wygląda na to, że kampania ataków LuminousMoth wykazuje pewne uderzające podobieństwa do operacji przeprowadzanych przez już znany APT powiązany z Chinami o nazwie HoneyMyte (Mustang Panda). Obie grupy mają podobne kryteria docelowe i TTP (taktyka, techniki i procedury), które obejmują ładowanie boczne i rozmieszczenie ładowaczy Cobalt Strike. Ponadto złodziej ciasteczek Chome widziany w ataku LuminousMoth przypomina uszkodzony element poprzednich działań HoneyMyte. Nakładanie się infrastruktury zapewnia dodatkowe połączenia między grupami. W tej chwili nie można jednoznacznie stwierdzić, czy LuminousMoth jest rzeczywiście nową grupą hakerów, czy też jest odnowioną wersją HoneyMyte wyposażoną w nowy arsenał złośliwych narzędzi.