LuminousMoth APT

Forskare har upptäckt en storskalig attackoperation som de tillskriver en ny APT-grupp (Advanced Persistent Threat) med namnet LuminousMoth. APT-relaterade kampanjer är vanligtvis mycket riktade med cyberbrottslingarna som skräddarsyr infektionskedjan och de utplacerade hoten mot skadlig programvara för den specifika enhet som de syftar till att bryta mot. Men LuminousMoth-attacken har skapat ett ovanligt stort antal offer - cirka 100 i Myanmar och nära 1400 på Filippinerna. Det är mer än troligt att de faktiska målen för kampanjen representerar en liten delmängd av de upptäckta offren. Hackarna verkar vara ute efter regeringsenheter från båda länder såväl som utomlands.

Infektionskedjan

Den ursprungliga infektionsvektorn verkar vara ett e-postmeddelande med spjutfiske som innehåller en nedladdningslänk från Dropbox som leder till en skadad fil. Filen låtsas vara ett Word-dokument men är ett RAR-arkiv som innehåller två komprometterade DLL-bibliotek och två legitima körbara filer som har till uppgift att sidladda DLL-filerna. I arkiven användes betesnamn som 'COVID-19 Fall 12-11-2020 (MOTC) .rar' och 'DACU Projects.r01.' I Myanmar står MOTC för ministeriet för transport och kommunikation, medan DACU är enheten för samordning av utvecklingsbistånd.

Efter det första brottet mot systemet använder LuminousMoth en annan metod för att flytta i sidled. Hotet skannar den komprometterade enheten för flyttbara media som USB-enheter. Det skapar sedan dolda kataloger för att lagra utvalda filer.

Verktyg efter exploatering

På vissa valda mål eskalerade LuminousMoth attacken genom att använda ytterligare hotfulla verktyg. Infosec-forskare märkte ett stjälhot som efterliknar den populära videokonferensapplikationen Zoom. För att lägga till legitimitet har förklädnaden en giltig digital signatur och certifikat. När den har initierats genomsöker stealern offrets system efter specifika filtillägg och exfiltrerar dem till en Command-and-Control-server (C2, C&C).

Hotskådespelaren levererade också en Chrome-cookie-stjälare till specifika system. Verktyget behöver det lokala användarnamnet för att få åtkomst till de två filerna som innehåller den data det är efter. Efter att ha kört några tester bestämde cybersäkerhetsforskarna att målet med det här verktyget är att kapa och sedan efterlikna målen i Gmail-sessionerna.

Det bör noteras att LuminousMoth APT i stor utsträckning använder en Cobalt Strike-fyr som en slutgiltig nyttolast.

Är LuminousMoth en ny hotaktör?

Det verkar som om LuminousMoth-attackkampanjen har några slående likheter med operationer som utförts av en redan etablerad kinesisk-relaterad APT med namnet HoneyMyte (Mustang Panda). Båda grupperna visar liknande målkriterier och TTP: er (taktik, tekniker och procedurer) som inkluderar sidladdning och distribution av Cobalt Strike- lastare. Dessutom liknar Chome cookie stealer som ses i LuminousMoth-attacken en skadad komponent i tidigare HoneyMyte-aktiviteter. Överlappningar i infrastruktur ger ytterligare länkar mellan grupperna. För tillfället kan det inte slutgiltigt fastställas om LuminousMoth verkligen är en ny hackargrupp eller om det är en moderniserad version av HoneyMyte utrustad med en ny arsenal av verktyg för skadlig programvara.