LuminousMoth APT

นักวิจัยได้เปิดเผยการโจมตีขนาดใหญ่ที่พวกเขาระบุถึงกลุ่ม APT (Advanced Persistent Threat) ใหม่ที่ชื่อว่า LuminousMoth โดยทั่วไปแล้ว แคมเปญที่เกี่ยวข้องกับ APT นั้นมีเป้าหมายสูงโดยอาชญากรไซเบอร์ที่ปรับแต่งห่วงโซ่การติดไวรัสและมัลแวร์ที่ปรับใช้กับหน่วยงานเฉพาะที่พวกเขาตั้งเป้าที่จะละเมิด อย่างไรก็ตาม การโจมตี LuminousMoth ทำให้เหยื่อจำนวนมากผิดปกติ - ประมาณ 100 ในเมียนมาร์และเกือบ 1,400 ในฟิลิปปินส์ มีความเป็นไปได้มากกว่าที่เป้าหมายที่แท้จริงของแคมเปญจะเป็นกลุ่มย่อยเล็กๆ ของเหยื่อที่ตรวจพบ ดูเหมือนว่าแฮกเกอร์จะติดตามหน่วยงานของรัฐจากทั้งสองประเทศและต่างประเทศ

ห่วงโซ่การติดเชื้อ

เวกเตอร์การติดไวรัสเริ่มต้นดูเหมือนจะเป็นอีเมลสเปียร์ฟิชชิ่งที่มีลิงก์ดาวน์โหลด Dropbox ที่นำไปสู่ไฟล์ที่เสียหาย ไฟล์ปลอมแปลงเป็นเอกสาร Word แต่เป็นไฟล์เก็บถาวร RAR ที่มีไลบรารี DLL ที่ถูกบุกรุกสองไลบรารีและไฟล์เรียกทำงานที่ถูกต้องตามกฎหมายสองรายการซึ่งได้รับมอบหมายให้โหลด DLL แบบไซด์โหลด เอกสารดังกล่าวใช้ชื่อเหยื่อ เช่น 'COVID-19 Case 12-11-2020(MOTC).rar' และ 'DACU Projects.r01' ในเมียนมาร์ MOTC ย่อมาจาก Ministry of Transport and Communications ในขณะที่ DACU เป็นหน่วยประสานงานความช่วยเหลือเพื่อการพัฒนา

หลังจากการละเมิดระบบครั้งแรก LuminousMoth ใช้วิธีการอื่นในการเคลื่อนที่ไปด้านข้าง ภัยคุกคามจะสแกนอุปกรณ์ที่ถูกบุกรุกเพื่อหาสื่อที่ถอดออกได้ เช่น ไดรฟ์ USB จากนั้นจะสร้างไดเร็กทอรีที่ซ่อนอยู่เพื่อเก็บไฟล์ที่เลือกไว้

เครื่องมือหลังการเอารัดเอาเปรียบ

ในบางเป้าหมายที่เลือก LuminousMoth ได้เพิ่มการโจมตีโดยการปรับใช้เครื่องมือคุกคามเพิ่มเติม นักวิจัยของ Infosec สังเกตเห็นภัยคุกคามจากการขโมยข้อมูลซึ่งแอบอ้างเป็นแอปพลิเคชั่นการประชุมทางวิดีโอยอดนิยม Zoom เพื่อเพิ่มความชอบธรรม การปลอมแปลงมีลายเซ็นดิจิทัลและใบรับรองที่ถูกต้อง เมื่อเริ่มต้นแล้ว ผู้ขโมยจะสแกนระบบของเหยื่อเพื่อหานามสกุลไฟล์เฉพาะและแยกไฟล์ออกไปยังเซิร์ฟเวอร์ Command-and-Control (C2, C&C)

ผู้คุกคามยังส่งตัวขโมยคุกกี้ Chrome ไปยังระบบเฉพาะ เครื่องมือนี้ต้องการชื่อผู้ใช้ในเครื่องเพื่อเข้าถึงไฟล์สองไฟล์ที่มีข้อมูลที่ตามมา หลังจากทำการทดสอบแล้ว นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุว่าเป้าหมายของเครื่องมือนี้คือการจี้และปลอมแปลงเซสชัน Gmail ของเป้าหมาย

ควรสังเกตว่า LuminousMoth APT ใช้บีคอน Cobalt Strike เป็นเพย์โหลดระยะสุดท้ายอย่างกว้างขวาง

LuminousMoth เป็นนักแสดงภัยคุกคามใหม่หรือไม่?

ดูเหมือนว่าแคมเปญโจมตี LuminousMoth มีความคล้ายคลึงกันอย่างมากกับการปฏิบัติการที่ดำเนินการโดย APT ที่เกี่ยวข้องกับจีนที่ชื่อว่า HoneyMyte (Mustang Panda) ทั้งสองกลุ่มแสดงเกณฑ์เป้าหมายที่คล้ายคลึงกันและ TTP (กลยุทธ์ เทคนิค และขั้นตอน) ที่รวมถึงการโหลดด้านข้างและการปรับใช้ตัวโหลด Cobalt Strike นอกจากนี้ ตัวขโมยคุกกี้ Chome ที่เห็นในการโจมตี LuminousMoth ยังคล้ายกับองค์ประกอบที่เสียหายของกิจกรรม HoneyMyte ที่ผ่านมา การทับซ้อนกันในโครงสร้างพื้นฐานทำให้เกิดการเชื่อมโยงเพิ่มเติมระหว่างกลุ่มต่างๆ ในขณะนี้ ยังสรุปไม่ได้ว่า LuminousMoth เป็นกลุ่มแฮ็กเกอร์กลุ่มใหม่จริงหรือไม่ หรือเป็นเวอร์ชันปรับปรุงใหม่ของ HoneyMyte ที่มีคลังเครื่องมือมัลแวร์ใหม่