LuminousMoth APT

Os pesquisadores descobriram uma operação de ataque em grande escala, que eles atribuem a um novo grupo APT (Advanced Persistent Threat) chamado LuminousMoth. As campanhas relacionadas ao APT são normalmente altamente direcionadas aos cibercriminosos que personalizam a cadeia de infecção e as ameaças de malware implantadas para a entidade específica que eles pretendem violar. No entanto, o ataque do LuminousMoth produziu um número excepcionalmente alto de vítimas - cerca de 100 em Mianmar e cerca de 1400 nas Filipinas. É mais do que provável que os alvos reais da campanha representem um pequeno subconjunto das vítimas detectadas. Os hackers parecem estar atrás de entidades governamentais de ambos os países e também de outros países.

A Cadeia de Infecção

O vetor de infecção inicial parece ser um e-mail de spear-phishing contendo um link de download do Dropbox que leva a um arquivo corrompido. O arquivo finge ser um documento do Word, mas é um arquivo RAR contendo duas bibliotecas DLL comprometidas e dois executáveis legítimos encarregados de carregar os DLLs. Os arquivos usavam nomes de iscas como 'COVID-19 Case 12-11-2020 (MOTC) .rar' e 'DACU Projects.r01.' Em Mianmar, MOTC significa Ministério dos Transportes e Comunicações, enquanto DACU é a Unidade de Coordenação de Assistência ao Desenvolvimento.

Após a violação inicial do sistema, o LuminousMoth emprega um método diferente para mover para os lados. A ameaça verifica o dispositivo comprometido em busca de mídia removível, como unidades USB. Em seguida, ele cria diretórios ocultos para armazenar arquivos selecionados.

Ferramentas Pós-Exploração

Em certos alvos escolhidos, LuminousMoth escalou o ataque implantando ferramentas ameaçadoras adicionais. Os pesquisadores da Infosec notaram uma ameaça de ladrão que se faz passar pelo popular aplicativo de videoconferência Zoom. Para adicionar legitimidade, o disfarce tem uma assinatura digital válida e um certificado. Uma vez iniciado, o ladrão examina o sistema da vítima em busca de extensões de arquivo específicas e os exfiltra para um servidor de comando e controle (C2, C&C).

O autor da ameaça também entregou um ladrão de cookies do Chrome para sistemas específicos. A ferramenta precisa do nome de usuário local para acessar os dois arquivos que contêm os dados que buscam. Depois de executar alguns testes, os pesquisadores de segurança cibernética determinaram que o objetivo dessa ferramenta é sequestrar e, em seguida, personificar as sessões do Gmail dos alvos.

Deve-se observar que o LuminousMoth APT usa extensivamente um farol Cobalt Strike como uma carga útil de estágio final.

O LuminousMoth é um Novo Ator de Ameaças?

Parece que a campanha de ataque do LuminousMoth apresenta algumas semelhanças impressionantes com as operações realizadas por um APT relacionado à China já estabelecido chamado HoneyMyte (Mustang Panda). Ambos os grupos exibem critérios de destino semelhantes e TTPs (táticas, técnicas e procedimentos) que incluem carregamento lateral e a implantação de carregadores de ataque do Cobalt. Além disso, o ladrão de cookies Chome visto no ataque do LuminousMoth se assemelha a um componente corrompido das atividades anteriores do HoneyMyte. As sobreposições na infraestrutura fornecem links adicionais entre os grupos. No momento, não pode ser determinado de forma conclusiva se o LuminousMoth é de fato um novo grupo de hackers ou se é uma versão renovada do HoneyMyte equipada com um novo arsenal de ferramentas de malware.