LuminousMoth APT

Výskumníci odhalili rozsiahlu útočnú operáciu, ktorú pripisujú novej skupine APT (Advanced Persistent Threat) s názvom LuminousMoth. Kampane súvisiace s APT sú zvyčajne vysoko cielené, pričom kyberzločinci prispôsobujú reťazec infekcií a nasadené hrozby malvéru konkrétnemu subjektu, ktorý chcú narušiť. Útok LuminousMoth si však vyžiadal nezvyčajne vysoký počet obetí – okolo 100 v Mjanmarsku a takmer 1400 na Filipínach. Je viac ako pravdepodobné, že skutočné ciele kampane predstavujú malú podmnožinu odhalených obetí. Zdá sa, že hackeri idú po vládnych subjektoch z oboch krajín, ako aj zo zahraničia.

Infekčný reťazec

Zdá sa, že počiatočný vektor infekcie je spear-phishingový e-mail obsahujúci odkaz na stiahnutie Dropboxu, ktorý vedie k poškodenému súboru. Súbor predstiera, že je dokumentom programu Word, ale je to archív RAR obsahujúci dve kompromitované knižnice DLL a dva legitímne spustiteľné súbory, ktorých úlohou je bočné načítanie knižníc DLL. V archívoch boli použité názvy návnad, ako napríklad „COVID-19 Case 12-11-2020 (MOTC).rar“ a „DACU Projects.r01“. V Mjanmarsku MOTC znamená ministerstvo dopravy a komunikácií, zatiaľ čo DACU je koordinačná jednotka rozvojovej pomoci.

Po počiatočnom porušení systému LuminousMoth využíva inú metódu pohybu do strán. Hrozba skenuje napadnuté zariadenie na vymeniteľné médiá, ako sú napríklad USB disky. Potom vytvorí skryté adresáre na ukladanie vybraných súborov.

Nástroje po exploatácii

Na určité vybrané ciele LuminousMoth eskaloval útok nasadením ďalších ohrozujúcich nástrojov. Výskumníci z Infosec si všimli zlodejskú hrozbu, ktorá sa vydáva za populárnu videokonferenčnú aplikáciu Zoom. Na zvýšenie legitimity má prevlek platný digitálny podpis a certifikát. Po spustení zlodej prehľadá systém obete, či neobsahuje špecifické prípony súborov a prenesie ich na server príkazov a ovládania (C2, C&C).

Hroziaci aktér doručil do konkrétnych systémov aj zlodeja súborov cookie Chrome. Nástroj potrebuje miestne používateľské meno na prístup k dvom súborom obsahujúcim údaje, o ktoré ide. Po vykonaní niekoľkých testov výskumníci v oblasti kybernetickej bezpečnosti určili, že cieľom tohto nástroja je uniesť a následne zosobniť relácie Gmailu cieľových osôb.

Je potrebné poznamenať, že LuminousMoth APT vo veľkej miere používa maják Cobalt Strike ako užitočné zaťaženie v konečnom štádiu.

Je LuminousMoth novou hrozbou?

Zdá sa, že útočná kampaň LuminousMoth má niekoľko nápadných podobností s operáciami vykonávanými už zavedeným čínskym APT s názvom HoneyMyte (Mustang Panda). Obe skupiny vykazujú podobné cieľové kritériá a TTP (taktiky, techniky a postupy), ktoré zahŕňajú bočné nakladanie a nasadenie nakladačov Cobalt Strike. Okrem toho, kradač cookies Chome videný pri útoku LuminousMoth pripomína poškodený komponent minulých aktivít HoneyMyte. Presahy v infraštruktúre poskytujú ďalšie prepojenia medzi skupinami. V súčasnosti nie je možné jednoznačne určiť, či je LuminousMoth skutočne novou hackerskou skupinou alebo či ide o prepracovanú verziu HoneyMyte vybavenú novým arzenálom malvérových nástrojov.