LuminousMoth APT

Studiuesit kanë zbuluar një operacion sulmi në shkallë të gjerë që ata ia atribuojnë një grupi të ri APT (Kërcënimi i Përparuar i Përparuar) të quajtur LuminousMoth. Fushatat e lidhura me APT-në janë zakonisht në shënjestër të lartë me kriminelët kibernetikë që përshtatin zinxhirin e infeksionit dhe kërcënimet e vendosura të malware ndaj entitetit specifik që ata synojnë të shkelin. Megjithatë, sulmi LuminousMoth ka prodhuar një numër jashtëzakonisht të lartë viktimash - rreth 100 në Myanmar dhe afër 1400 në Filipine. Është më se e mundshme që objektivat aktuale të fushatës përfaqësojnë një nëngrup të vogël të viktimave të zbuluara. Hakerët duket se janë pas enteve qeveritare nga të dy vendet, si dhe jashtë saj.

Zinxhiri i Infeksionit

Vektori fillestar i infeksionit duket të jetë një email phishing me shtizë që përmban një lidhje shkarkimi të Dropbox që çon në një skedar të korruptuar. Skedari pretendon të jetë një dokument Word, por është një arkiv RAR që përmban dy biblioteka DLL të komprometuara dhe dy ekzekutues legjitimë të ngarkuar me ngarkimin anësor të DLL-ve. Arkivat përdorën emra karremesh si 'COVID-19 Case 12-11-2020(MOTC).rar' dhe 'DACU Projects.r01'. Në Myanmar, MOTC do të thotë Ministria e Transportit dhe Komunikacioneve, ndërsa DACU është Njësia e Koordinimit të Ndihmës për Zhvillim.

Pas shkeljes fillestare të sistemit, LuminousMoth përdor një metodë të ndryshme për lëvizjen anash. Kërcënimi skanon pajisjen e komprometuar për media të lëvizshme si disqet USB. Më pas krijon drejtori të fshehura për të ruajtur skedarët e zgjedhur.

Mjetet e Post-Shfrytëzimit

Në caqe të caktuara të zgjedhura, LuminousMoth e përshkallëzoi sulmin duke vendosur mjete shtesë kërcënuese. Studiuesit e Infosec vunë re një kërcënim vjedhësi që imiton aplikacionin popullor të videokonferencës Zoom. Për të shtuar legjitimitetin, maskimi ka një nënshkrim dhe certifikatë dixhitale të vlefshme. Pasi të inicohet, vjedhësi skanon sistemin e viktimës për shtesa specifike skedarësh dhe i nxjerr ato në një server Command-and-Control (C2, C&C).

Aktori i kërcënimit dërgoi gjithashtu një vjedhës të cookie-ve Chrome në sisteme specifike. Mjeti ka nevojë për emrin e përdoruesit lokal për të hyrë në dy skedarët që përmbajnë të dhënat që kërkon. Pas kryerjes së disa testeve, studiuesit e sigurisë kibernetike përcaktuan se qëllimi i këtij mjeti është të rrëmbejë dhe më pas të imitojë seancat e Gmail të objektivave.

Duhet të theksohet se LuminousMoth APT përdor gjerësisht një fener Cobalt Strike si një ngarkesë në fazën përfundimtare.

A është LuminousMoth një aktor i ri kërcënues?

Duket se fushata e sulmit LuminousMoth ka disa ngjashmëri të habitshme me operacionet e kryera nga një APT tashmë e krijuar e lidhur me Kinën e quajtur HoneyMyte (Mustang Panda). Të dy grupet shfaqin kritere të ngjashme të synuara dhe TTP (Taktika, Teknika dhe Procedura) që përfshijnë ngarkimin anësor dhe vendosjen e ngarkuesve Cobalt Strike. Përveç kësaj, vjedhësi i biskotave Chome i parë në sulmin LuminousMoth i ngjan një komponenti të korruptuar të aktiviteteve të kaluara të HoneyMyte. Mbivendosjet në infrastrukturë ofrojnë lidhje shtesë midis grupeve. Për momentin nuk mund të përcaktohet përfundimisht nëse LuminousMoth është me të vërtetë një grup i ri hakerash ose nëse është një version i rinovuar i HoneyMyte i pajisur me një arsenal të ri mjetesh malware.