ప్రకాశించే మాత్ APT
LuminousMoth అనే కొత్త APT (అధునాతన పెర్సిస్టెంట్ థ్రెట్) సమూహానికి ఆపాదించబడిన పెద్ద-స్థాయి దాడి ఆపరేషన్ను పరిశోధకులు కనుగొన్నారు. APT-సంబంధిత ప్రచారాలు సాధారణంగా సైబర్ నేరగాళ్లు ఇన్ఫెక్షన్ చైన్ను టైలరింగ్ చేయడం మరియు వారు ఉల్లంఘించాలని లక్ష్యంగా పెట్టుకున్న నిర్దిష్ట సంస్థకు మోహరించిన మాల్వేర్ బెదిరింపులతో ఎక్కువగా లక్ష్యంగా చేసుకుంటారు. అయితే, LuminousMoth దాడి అసాధారణంగా అధిక సంఖ్యలో బాధితులను ఉత్పత్తి చేసింది - మయన్మార్లో దాదాపు 100 మంది మరియు ఫిలిప్పీన్స్లో దాదాపు 1400 మంది బాధితులు ఉన్నారు. ప్రచారం యొక్క వాస్తవ లక్ష్యాలు గుర్తించబడిన బాధితుల యొక్క చిన్న ఉపసమితిని సూచించే అవకాశం ఉంది. రెండు దేశాలతో పాటు విదేశాలకు చెందిన ప్రభుత్వ సంస్థలపై హ్యాకర్లు ఉన్నట్లు తెలుస్తోంది.
ఇన్ఫెక్షన్ చైన్
ప్రారంభ ఇన్ఫెక్షన్ వెక్టర్ పాడైన ఫైల్కు దారితీసే డ్రాప్బాక్స్ డౌన్లోడ్ లింక్ను కలిగి ఉన్న స్పియర్-ఫిషింగ్ ఇమెయిల్గా కనిపిస్తుంది. ఫైల్ వర్డ్ డాక్యుమెంట్గా నటిస్తుంది, అయితే ఇది రెండు రాజీపడిన DLL లైబ్రరీలను కలిగి ఉన్న RAR ఆర్కైవ్ మరియు DLLలను సైడ్-లోడ్ చేసే పనిలో ఉన్న రెండు చట్టబద్ధమైన ఎక్జిక్యూటబుల్స్. ఆర్కైవ్లు 'COVID-19 కేస్ 12-11-2020(MOTC).rar' మరియు 'DACU Projects.r01' వంటి ఎర పేర్లను ఉపయోగించాయి. మయన్మార్లో, MOTC అంటే రవాణా మరియు కమ్యూనికేషన్ల మంత్రిత్వ శాఖ, DACU అనేది డెవలప్మెంట్ అసిస్టెన్స్ కోఆర్డినేషన్ యూనిట్.
సిస్టమ్ యొక్క ప్రారంభ ఉల్లంఘన తర్వాత, LuminousMoth పక్కకి తరలించడానికి వేరొక పద్ధతిని ఉపయోగిస్తుంది. USB డ్రైవ్ల వంటి తొలగించగల మీడియా కోసం ముప్పు రాజీపడిన పరికరాన్ని స్కాన్ చేస్తుంది. ఇది ఎంచుకున్న ఫైల్లను నిల్వ చేయడానికి దాచిన డైరెక్టరీలను సృష్టిస్తుంది.
దోపిడీ అనంతర సాధనాలు
ఎంచుకున్న నిర్దిష్ట లక్ష్యాలపై, అదనపు బెదిరింపు సాధనాలను మోహరించడం ద్వారా LuminousMoth దాడిని పెంచింది. ప్రముఖ వీడియో కాన్ఫరెన్స్ అప్లికేషన్ జూమ్ను అనుకరించే దొంగల ముప్పును ఇన్ఫోసెక్ పరిశోధకులు గమనించారు. చట్టబద్ధతను జోడించడానికి, మారువేషంలో చెల్లుబాటు అయ్యే డిజిటల్ సంతకం మరియు సర్టిఫికేట్ ఉంటుంది. ప్రారంభించిన తర్వాత, స్టీలర్ నిర్దిష్ట ఫైల్ ఎక్స్టెన్షన్ల కోసం బాధితుడి సిస్టమ్ను స్కాన్ చేస్తాడు మరియు వాటిని కమాండ్-అండ్-కంట్రోల్ సర్వర్ (C2, C&C)కి ఎక్స్ఫిల్ట్రేట్ చేస్తాడు.
బెదిరింపు నటుడు నిర్దిష్ట సిస్టమ్లకు క్రోమ్ కుక్కీ స్టీలర్ను కూడా పంపిణీ చేశాడు. సాధనం తర్వాత డేటాను కలిగి ఉన్న రెండు ఫైల్లను యాక్సెస్ చేయడానికి స్థానిక వినియోగదారు పేరు అవసరం. కొన్ని పరీక్షలను అమలు చేసిన తర్వాత, సైబర్ సెక్యూరిటీ పరిశోధకులు ఈ సాధనం యొక్క లక్ష్యం లక్ష్యాల యొక్క Gmail సెషన్లను హైజాక్ చేసి, ఆపై వారి వలె నటించాలని నిర్ణయించారు.
LuminousMoth APT కోబాల్ట్ స్ట్రైక్ బెకన్ను ఎండ్-స్టేజ్ పేలోడ్గా విస్తృతంగా ఉపయోగిస్తుందని గమనించాలి.
LuminousMoth ఒక కొత్త థ్రెట్ యాక్టర్?
హనీమైట్ (ముస్టాంగ్ పాండా) పేరుతో ఇప్పటికే స్థాపించబడిన చైనీస్-సంబంధిత APT ద్వారా నిర్వహించబడుతున్న కార్యకలాపాలకు LuminousMoth దాడి ప్రచారం కొన్ని అద్భుతమైన సారూప్యతలను కలిగి ఉన్నట్లు కనిపిస్తోంది. రెండు సమూహాలు ఒకే విధమైన లక్ష్య ప్రమాణాలను మరియు TTPలను (టాక్టిక్స్, టెక్నిక్స్ మరియు ప్రొసీజర్స్) ప్రదర్శిస్తాయి, ఇందులో సైడ్-లోడింగ్ మరియు కోబాల్ట్ స్ట్రైక్ లోడర్ల విస్తరణ ఉంటుంది. అదనంగా, LuminousMoth దాడిలో కనిపించిన Chome కుక్కీ స్టీలర్ గత HoneyMyte కార్యకలాపాలలో పాడైన భాగాన్ని పోలి ఉంటుంది. ఇన్ఫ్రాస్ట్రక్చర్లోని అతివ్యాప్తి సమూహాల మధ్య అదనపు లింక్లను అందిస్తుంది. ప్రస్తుతానికి LuminousMoth నిజంగా కొత్త హ్యాకర్ గ్రూప్ కాదా లేదా మాల్వేర్ టూల్స్తో కూడిన కొత్త ఆయుధాగారంతో కూడిన HoneyMyte యొక్క పునరుద్దరించబడిన సంస్కరణ కాదా అనేది నిశ్చయంగా నిర్ణయించబడదు.