Threat Database Advanced Persistent Threat (APT) ప్రకాశించే మాత్ APT

ప్రకాశించే మాత్ APT

LuminousMoth అనే కొత్త APT (అధునాతన పెర్సిస్టెంట్ థ్రెట్) సమూహానికి ఆపాదించబడిన పెద్ద-స్థాయి దాడి ఆపరేషన్‌ను పరిశోధకులు కనుగొన్నారు. APT-సంబంధిత ప్రచారాలు సాధారణంగా సైబర్ నేరగాళ్లు ఇన్‌ఫెక్షన్ చైన్‌ను టైలరింగ్ చేయడం మరియు వారు ఉల్లంఘించాలని లక్ష్యంగా పెట్టుకున్న నిర్దిష్ట సంస్థకు మోహరించిన మాల్వేర్ బెదిరింపులతో ఎక్కువగా లక్ష్యంగా చేసుకుంటారు. అయితే, LuminousMoth దాడి అసాధారణంగా అధిక సంఖ్యలో బాధితులను ఉత్పత్తి చేసింది - మయన్మార్‌లో దాదాపు 100 మంది మరియు ఫిలిప్పీన్స్‌లో దాదాపు 1400 మంది బాధితులు ఉన్నారు. ప్రచారం యొక్క వాస్తవ లక్ష్యాలు గుర్తించబడిన బాధితుల యొక్క చిన్న ఉపసమితిని సూచించే అవకాశం ఉంది. రెండు దేశాలతో పాటు విదేశాలకు చెందిన ప్రభుత్వ సంస్థలపై హ్యాకర్లు ఉన్నట్లు తెలుస్తోంది.

ఇన్ఫెక్షన్ చైన్

ప్రారంభ ఇన్ఫెక్షన్ వెక్టర్ పాడైన ఫైల్‌కు దారితీసే డ్రాప్‌బాక్స్ డౌన్‌లోడ్ లింక్‌ను కలిగి ఉన్న స్పియర్-ఫిషింగ్ ఇమెయిల్‌గా కనిపిస్తుంది. ఫైల్ వర్డ్ డాక్యుమెంట్‌గా నటిస్తుంది, అయితే ఇది రెండు రాజీపడిన DLL లైబ్రరీలను కలిగి ఉన్న RAR ఆర్కైవ్ మరియు DLLలను సైడ్-లోడ్ చేసే పనిలో ఉన్న రెండు చట్టబద్ధమైన ఎక్జిక్యూటబుల్స్. ఆర్కైవ్‌లు 'COVID-19 కేస్ 12-11-2020(MOTC).rar' మరియు 'DACU Projects.r01' వంటి ఎర పేర్లను ఉపయోగించాయి. మయన్మార్‌లో, MOTC అంటే రవాణా మరియు కమ్యూనికేషన్ల మంత్రిత్వ శాఖ, DACU అనేది డెవలప్‌మెంట్ అసిస్టెన్స్ కోఆర్డినేషన్ యూనిట్.

సిస్టమ్ యొక్క ప్రారంభ ఉల్లంఘన తర్వాత, LuminousMoth పక్కకి తరలించడానికి వేరొక పద్ధతిని ఉపయోగిస్తుంది. USB డ్రైవ్‌ల వంటి తొలగించగల మీడియా కోసం ముప్పు రాజీపడిన పరికరాన్ని స్కాన్ చేస్తుంది. ఇది ఎంచుకున్న ఫైల్‌లను నిల్వ చేయడానికి దాచిన డైరెక్టరీలను సృష్టిస్తుంది.

దోపిడీ అనంతర సాధనాలు

ఎంచుకున్న నిర్దిష్ట లక్ష్యాలపై, అదనపు బెదిరింపు సాధనాలను మోహరించడం ద్వారా LuminousMoth దాడిని పెంచింది. ప్రముఖ వీడియో కాన్ఫరెన్స్ అప్లికేషన్ జూమ్‌ను అనుకరించే దొంగల ముప్పును ఇన్ఫోసెక్ పరిశోధకులు గమనించారు. చట్టబద్ధతను జోడించడానికి, మారువేషంలో చెల్లుబాటు అయ్యే డిజిటల్ సంతకం మరియు సర్టిఫికేట్ ఉంటుంది. ప్రారంభించిన తర్వాత, స్టీలర్ నిర్దిష్ట ఫైల్ ఎక్స్‌టెన్షన్‌ల కోసం బాధితుడి సిస్టమ్‌ను స్కాన్ చేస్తాడు మరియు వాటిని కమాండ్-అండ్-కంట్రోల్ సర్వర్ (C2, C&C)కి ఎక్స్‌ఫిల్ట్రేట్ చేస్తాడు.

బెదిరింపు నటుడు నిర్దిష్ట సిస్టమ్‌లకు క్రోమ్ కుక్కీ స్టీలర్‌ను కూడా పంపిణీ చేశాడు. సాధనం తర్వాత డేటాను కలిగి ఉన్న రెండు ఫైల్‌లను యాక్సెస్ చేయడానికి స్థానిక వినియోగదారు పేరు అవసరం. కొన్ని పరీక్షలను అమలు చేసిన తర్వాత, సైబర్‌ సెక్యూరిటీ పరిశోధకులు ఈ సాధనం యొక్క లక్ష్యం లక్ష్యాల యొక్క Gmail సెషన్‌లను హైజాక్ చేసి, ఆపై వారి వలె నటించాలని నిర్ణయించారు.

LuminousMoth APT కోబాల్ట్ స్ట్రైక్ బెకన్‌ను ఎండ్-స్టేజ్ పేలోడ్‌గా విస్తృతంగా ఉపయోగిస్తుందని గమనించాలి.

LuminousMoth ఒక కొత్త థ్రెట్ యాక్టర్?

హనీమైట్ (ముస్టాంగ్ పాండా) పేరుతో ఇప్పటికే స్థాపించబడిన చైనీస్-సంబంధిత APT ద్వారా నిర్వహించబడుతున్న కార్యకలాపాలకు LuminousMoth దాడి ప్రచారం కొన్ని అద్భుతమైన సారూప్యతలను కలిగి ఉన్నట్లు కనిపిస్తోంది. రెండు సమూహాలు ఒకే విధమైన లక్ష్య ప్రమాణాలను మరియు TTPలను (టాక్టిక్స్, టెక్నిక్స్ మరియు ప్రొసీజర్స్) ప్రదర్శిస్తాయి, ఇందులో సైడ్-లోడింగ్ మరియు కోబాల్ట్ స్ట్రైక్ లోడర్‌ల విస్తరణ ఉంటుంది. అదనంగా, LuminousMoth దాడిలో కనిపించిన Chome కుక్కీ స్టీలర్ గత HoneyMyte కార్యకలాపాలలో పాడైన భాగాన్ని పోలి ఉంటుంది. ఇన్‌ఫ్రాస్ట్రక్చర్‌లోని అతివ్యాప్తి సమూహాల మధ్య అదనపు లింక్‌లను అందిస్తుంది. ప్రస్తుతానికి LuminousMoth నిజంగా కొత్త హ్యాకర్ గ్రూప్ కాదా లేదా మాల్వేర్ టూల్స్‌తో కూడిన కొత్త ఆయుధాగారంతో కూడిన HoneyMyte యొక్క పునరుద్దరించబడిన సంస్కరణ కాదా అనేది నిశ్చయంగా నిర్ణయించబడదు.

ట్రెండింగ్‌లో ఉంది

అత్యంత వీక్షించబడిన

లోడ్...