LuminousMoth APT
Raziskovalci so odkrili obsežno napadalno operacijo, ki jo pripisujejo novi skupini APT (Advanced Persistent Threat) z imenom LuminousMoth. Kampanje, povezane z APT, so običajno močno usmerjene na kibernetske kriminalce, ki verigo okužbe in razporejene grožnje zlonamerne programske opreme prilagodijo določenemu subjektu, ki ga želijo vdreti. Vendar pa je napad LuminousMoth povzročil nenavadno veliko število žrtev - okoli 100 v Mjanmaru in blizu 1400 na Filipinih. Več kot verjetno je, da dejanski cilji kampanje predstavljajo majhno podskupino odkritih žrtev. Zdi se, da hekerji preganjajo vladne subjekte iz obeh držav in tudi v tujini.
Infekcijska veriga
Zdi se, da je začetni vektor okužbe e-poštno sporočilo z lažnim predstavljanjem, ki vsebuje povezavo za prenos Dropboxa, ki vodi do poškodovane datoteke. Datoteka se pretvarja, da je Wordov dokument, vendar je arhiv RAR, ki vsebuje dve ogroženi knjižnici DLL in dve zakoniti izvedljivi datoteki, ki imata nalogo stransko nalaganje DLL-jev. Arhivi so uporabljali imena vab, kot sta »COVID-19 Case 12-11-2020 (MOTC).rar« in »DACU Projects.r01«. V Mjanmaru MOTC pomeni Ministrstvo za promet in komunikacije, medtem ko je DACU koordinacijska enota razvojne pomoči.
Po začetni kršitvi sistema LuminousMoth uporablja drugačno metodo za bočno premikanje. Grožnja pregleda ogroženo napravo za izmenljive medije, kot so pogoni USB. Nato ustvari skrite imenike za shranjevanje izbranih datotek.
Orodja po izkoriščanju
Na določene izbrane tarče je LuminousMoth napad stopnjeval z uporabo dodatnih orodij za grožnjo. Raziskovalci Infosec so opazili grožnjo kraje, ki oponaša priljubljeno aplikacijo za video konference Zoom. Za dodatno legitimnost ima preobleka veljaven digitalni podpis in potrdilo. Ko se zažene, krajo skenira sistem žrtve za določene končnice datotek in jih izloči v strežnik za upravljanje in nadzor (C2, C&C).
Igralec grožnje je v določene sisteme dostavil tudi orodje za krajo piškotkov Chrome. Orodje potrebuje lokalno uporabniško ime za dostop do dveh datotek, ki vsebujeta podatke, ki jih potrebuje. Po izvedbi nekaj testov so raziskovalci kibernetske varnosti ugotovili, da je cilj tega orodja ugrabiti in nato oponašati seje ciljev v Gmailu.
Treba je opozoriti, da LuminousMoth APT v veliki meri uporablja svetilko Cobalt Strike kot končno koristno obremenitev.
Je LuminousMoth nov igralec grožnje?
Zdi se, da ima napadna kampanja LuminousMoth nekaj presenetljivih podobnosti z operacijami, ki jih izvaja že uveljavljeni kitajski APT, imenovan HoneyMyte (Mustang Panda). Obe skupini prikazujeta podobna ciljna merila in TTP (taktike, tehnike in postopke), ki vključujejo stransko nalaganje in uporabo nakladalnikov Cobalt Strike. Poleg tega je kradljivka piškotkov Chome, ki smo jo videli v napadu LuminousMoth, podobna poškodovani komponenti preteklih dejavnosti HoneyMyte. Prekrivanja v infrastrukturi zagotavljajo dodatne povezave med skupinami. Trenutno ni mogoče dokončno ugotoviti, ali je LuminousMoth res nova hekerska skupina ali gre za prenovljeno različico HoneyMyte, opremljeno z novim arzenalom orodij za zlonamerno programsko opremo.
