LuminousMoth APT

Cercetătorii au descoperit o operațiune de atac la scară largă pe care o atribuie unui nou grup APT (Advanced Persistent Threat) numit LuminousMoth. Campaniile legate de APT sunt, de obicei, foarte țintite cu infractorii cibernetici care adaptează lanțul de infecție și amenințările malware implementate la entitatea specifică pe care intenționează să o încalce. Cu toate acestea, atacul LuminousMoth a produs un număr neobișnuit de mare de victime - în jur de 100 în Myanmar și aproape 1400 în Filipine. Este mai mult ca probabil ca obiectivele reale ale campaniei să reprezinte un mic subset al victimelor detectate. Hackerii par să urmărească entități guvernamentale din ambele țări, precum și din străinătate.

Lanțul de infecție

Vectorul inițial de infecție pare a fi un e-mail de tip spear-phishing care conține un link de descărcare Dropbox care duce la un fișier corupt. Fișierul se pretinde a fi un document Word, dar este o arhivă RAR care conține două biblioteci DLL compromise și două executabile legitime însărcinate cu încărcarea laterală a DLL-urilor. Arhivele au folosit nume de momeală precum „COVID-19 Case 12-11-2020(MOTC).rar” și „DACU Projects.r01”. În Myanmar, MOTC reprezintă Ministerul Transporturilor și Comunicațiilor, în timp ce DACU este Unitatea de Coordonare a Asistenței pentru Dezvoltare.

După încălcarea inițială a sistemului, LuminousMoth folosește o metodă diferită pentru deplasarea laterală. Amenințarea scanează dispozitivul compromis pentru medii amovibile, cum ar fi unități USB. Apoi creează directoare ascunse pentru a stoca fișierele selectate.

Instrumente post-exploatare

Pe anumite ținte alese, LuminousMoth a escaladat atacul prin desfășurarea unor instrumente suplimentare de amenințare. Cercetătorii Infosec au observat o amenințare de furt care uzurpă identitatea popularei aplicații de videoconferință Zoom. Pentru a adăuga legitimitate, deghizarea are o semnătură digitală și un certificat valid. Odată inițiat, hoțul scanează sistemul victimei pentru anumite extensii de fișiere și le exfiltrează pe un server Command-and-Control (C2, C&C).

Actorul amenințării a livrat și un furt de cookie-uri Chrome către anumite sisteme. Instrumentul are nevoie de numele de utilizator local pentru a accesa cele două fișiere care conțin datele pe care le urmărește. După ce au efectuat câteva teste, cercetătorii în securitate cibernetică au stabilit că scopul acestui instrument este de a deturna și apoi uzurpa identitatea sesiunilor Gmail ale țintelor.

Trebuie remarcat faptul că LuminousMoth APT folosește pe scară largă un far Cobalt Strike ca sarcină utilă finală.

Este LuminousMoth un nou actor de amenințare?

Se pare că campania de atac LuminousMoth are unele asemănări izbitoare cu operațiunile desfășurate de un APT deja stabilit, legat de China, numit HoneyMyte (Mustang Panda). Ambele grupuri afișează criterii țintă similare și TTP (Tactici, Tehnici și Proceduri) care includ încărcarea laterală și desfășurarea încărcătoarelor Cobalt Strike. În plus, furtul de prăjituri Chome văzut în atacul LuminousMoth seamănă cu o componentă coruptă a activităților anterioare HoneyMyte. Suprapunerile în infrastructură oferă legături suplimentare între grupuri. În momentul de față nu se poate determina în mod concludent dacă LuminousMoth este într-adevăr un nou grup de hackeri sau dacă este o versiune reînnoită a HoneyMyte echipată cu un nou arsenal de instrumente malware.

Trending

Cele mai văzute

Se încarcă...