LuminousMoth APT

Исследователи обнаружили крупномасштабную операцию атаки, которую они приписывают новой группе APT (Advanced Persistent Threat) под названием LuminousMoth. Кампании, связанные с APT, обычно очень нацелены на киберпреступников, которые адаптируют цепочку заражения и развернутые вредоносные программы к конкретному объекту, который они стремятся взломать. Однако атака LuminousMoth привела к необычно высокому числу жертв - около 100 в Мьянме и около 1400 на Филиппинах. Более чем вероятно, что фактические цели кампании представляют собой небольшую группу обнаруженных жертв. Похоже, что хакеры охотятся за государственными структурами обеих стран, а также из-за рубежа.

Цепь инфекции

Первоначальный вектор заражения представляет собой целевое фишинговое письмо, содержащее ссылку для загрузки Dropbox, ведущую к поврежденному файлу. Файл претендует на то, чтобы быть документом Word, но представляет собой архив RAR, содержащий две скомпрометированные библиотеки DLL и два законных исполняемых файла, которым поручена боковая загрузка библиотек DLL. В архивах использовались такие названия приманок, как «COVID-19 Case 12-11-2020 (MOTC) .rar» и «DACU Projects.r01». В Мьянме MOTC означает Министерство транспорта и коммуникаций, а DACU - это Координационная группа по содействию развитию.

После первого нарушения системы LuminousMoth использует другой метод движения боком. Угроза сканирует взломанное устройство на наличие съемных носителей, например USB-накопителей. Затем он создает скрытые каталоги для хранения выбранных файлов.

Инструменты после эксплуатации

На определенных выбранных целях LuminousMoth усилил атаку, развернув дополнительные угрожающие инструменты. Исследователи Infosec заметили угрозу воровства, которая имитирует популярное приложение для видеоконференций Zoom. Чтобы добавить легитимности, маскировка имеет действующую цифровую подпись и сертификат. После запуска стилер сканирует систему жертвы на предмет определенных расширений файлов и отправляет их на сервер управления и контроля (C2, C&C).

Злоумышленник также доставил в определенные системы программу для похищения файлов cookie Chrome. Инструменту требуется локальное имя пользователя для доступа к двум файлам, содержащим данные, за которыми он находится. Проведя несколько тестов, исследователи кибербезопасности определили, что цель этого инструмента - захватить, а затем выдать себя за сеансы Gmail целевых объектов.

Следует отметить, что APT LuminousMoth широко использует маяк Cobalt Strike в качестве полезной нагрузки конечной стадии.

LuminousMoth - новый актер угроз?

Похоже, что кампания по атаке LuminousMoth имеет поразительное сходство с операциями, проводимыми уже установленным китайским APT под названием HoneyMyte (Mustang Panda). Обе группы демонстрируют одинаковые целевые критерии и ТТП (тактика, приемы и процедуры), которые включают боковую загрузку и развертывание погрузчиков Cobalt Strike. Кроме того, похититель печенья Chome, замеченный в атаке LuminousMoth, напоминает поврежденный компонент прошлых действий HoneyMyte. Перекрытия в инфраструктуре обеспечивают дополнительные связи между группами. На данный момент нельзя окончательно определить, действительно ли LuminousMoth является новой хакерской группой или это обновленная версия HoneyMyte, оснащенная новым арсеналом вредоносных инструментов.