ЛуминоусМотх АПТ

Истраживачи су открили операцију напада великих размера коју приписују новој АПТ (Адванцед Персистент Тхреат) групи под називом ЛуминоусМотх. Кампање које се односе на АПТ обично су високо циљане са сајбер криминалцима који кроје ланац инфекције и распоређеним претњама злонамерног софтвера за одређени ентитет који желе да провале. Међутим, напад ЛуминоусМотх-а произвео је необично велики број жртава - око 100 у Мјанмару и близу 1400 на Филипинима. Више је него вероватно да стварне мете кампање представљају мали подскуп откривених жртава. Чини се да хакери јуре државне органе из обе земље, као и из иностранства.

Ланац инфекције

Чини се да је иницијални вектор заразе е-порука за крађу идентитета која садржи линк за преузимање Дропбок-а који води до оштећене датотеке. Датотека се претвара да је Ворд документ, али је РАР архива која садржи две компромитоване ДЛЛ библиотеке и две легитимне извршне датотеке које имају задатак да бочно учитавају ДЛЛ-ове. Архиве су користиле називе мамаца као што су „ЦОВИД-19 Цасе 12-11-2020(МОТЦ).рар“ и „ДАЦУ Пројецтс.р01“. У Мјанмару, МОТЦ означава Министарство саобраћаја и комуникација, док је ДАЦУ Јединица за координацију развојне помоћи.

Након почетног кршења система, ЛуминоусМотх користи другачији метод за кретање у страну. Претња скенира компромитовани уређај у потрази за преносивим медијима као што су УСБ дискови. Затим креира скривене директоријуме за чување изабраних датотека.

Алати за пост-експлоатацију

На одређеним одабраним циљевима, ЛуминоусМотх је ескалирао напад постављањем додатних претећих алата. Истраживачи Инфосец-а су приметили претњу крадљиваца која опонаша популарну апликацију за видео конференције Зоом. Да би се додао легитимитет, маска има важећи дигитални потпис и сертификат. Једном покренут, крадљивац скенира систем жртве у потрази за одређеним екстензијама датотека и ексфилтрира их на сервер за команду и контролу (Ц2, Ц&Ц).

Глумац претње је такође испоручио Цхроме крађи колачић одређеним системима. Алат треба локално корисничко име да би приступио двема датотекама које садрже податке које тражи. Након спровођења неких тестова, истраживачи сајбер безбедности су утврдили да је циљ овог алата да отме, а затим имитује Гмаил сесије мета.

Треба напоменути да ЛуминоусМотх АПТ у великој мери користи Цобалт Стрике беацон као завршни терет.

Да ли је ЛуминоусМотх нова претња?

Чини се да кампања напада ЛуминоусМотх-а има неке запањујуће сличности са операцијама које спроводи већ успостављени АПТ који је повезан са кинеском по имену ХонеиМите (Мустанг Панда). Обе групе приказују сличне критеријуме циља и ТТП-ове (тактике, технике и процедуре) који укључују бочно оптерећење и примену утоваривача Цобалт Стрике. Поред тога, крадљивац Цхоме колачића виђен у нападу ЛуминоусМотх подсећа на оштећену компоненту прошлих ХонеиМите активности. Преклапања у инфраструктури пружају додатне везе између група. Тренутно се не може са сигурношћу утврдити да ли је ЛуминоусМотх заиста нова хакерска група или је то реновирана верзија ХонеиМите-а опремљена новим арсеналом малвер алата.