LuminousMoth APT
Natuklasan ng mga mananaliksik ang isang malakihang operasyon ng pag-atake na iniuugnay nila sa isang bagong pangkat ng APT (Advanced Persistent Threat) na pinangalanang LuminousMoth. Ang mga kampanyang nauugnay sa APT ay karaniwang lubos na nata-target sa mga cybercriminal na umaayon sa chain ng impeksyon at sa mga naka-deploy na banta ng malware sa partikular na entity na nilalayon nilang labagin. Gayunpaman, ang pag-atake ng LuminousMoth ay nagdulot ng hindi pangkaraniwang mataas na bilang ng mga biktima - humigit-kumulang 100 sa Myanmar at malapit sa 1400 sa Pilipinas. Mas malamang na ang aktwal na mga target ng kampanya ay kumakatawan sa isang maliit na subset ng mga nakitang biktima. Ang mga hacker ay tila hinahabol ang mga entidad ng gobyerno mula sa parehong bansa pati na rin sa ibang bansa.
Ang Impeksyon Chain
Ang unang vector ng impeksyon ay lumilitaw na isang spear-phishing na email na naglalaman ng isang link sa pag-download ng Dropbox na humahantong sa isang sirang file. Ang file ay nagpapanggap na isang Word document ngunit ito ay isang RAR archive na naglalaman ng dalawang nakompromisong DLL library at dalawang lehitimong executable na nakatalaga sa side-loading ng mga DLL. Gumamit ang mga archive ng mga pangalan ng pain gaya ng 'COVID-19 Case 12-11-2020(MOTC).rar' at 'DACU Projects.r01.' Sa Myanmar, ang MOTC ay kumakatawan sa Ministry of Transport and Communications, habang ang DACU ay ang Development Assitance Coordination Unit.
Pagkatapos ng unang paglabag sa system, gumagamit ang LuminousMoth ng ibang paraan para sa paglipat ng patagilid. Ini-scan ng banta ang nakompromisong device para sa naaalis na media gaya ng mga USB drive. Lumilikha ito ng mga nakatagong direktoryo upang mag-imbak ng mga piling file.
Mga Tool pagkatapos ng Pagsasamantala
Sa ilang partikular na napiling target, pinalaki ng LuminousMoth ang pag-atake sa pamamagitan ng pag-deploy ng mga karagdagang tool sa pagbabanta. Napansin ng mga mananaliksik ng Infosec ang banta ng magnanakaw na nagpapanggap bilang sikat na application ng video conference na Zoom. Upang magdagdag ng pagiging lehitimo, ang disguise ay may wastong digital na lagda at sertipiko. Sa sandaling sinimulan, ini-scan ng magnanakaw ang sistema ng biktima para sa mga partikular na extension ng file at i-exfiltrate ang mga ito sa isang Command-and-Control server (C2, C&C).
Naghatid din ang threat actor ng Chrome cookie stealer sa mga partikular na system. Ang tool ay nangangailangan ng lokal na username upang ma-access ang dalawang file na naglalaman ng data na pagkatapos nito. Pagkatapos magpatakbo ng ilang pagsubok, natukoy ng mga mananaliksik sa cybersecurity na ang layunin ng tool na ito ay i-hijack at pagkatapos ay gayahin ang mga session ng Gmail ng mga target.
Dapat tandaan na ang LuminousMoth APT ay malawakang gumagamit ng Cobalt Strike beacon bilang end-stage payload.
Bagong Threat Actor ba ang LuminousMoth?
Mukhang ang LuminousMoth attack campaign ay may ilang kapansin-pansing pagkakatulad sa mga operasyong isinagawa ng isang naitatag nang APT na may kaugnayan sa Chinese na pinangalanang HoneyMyte (Mustang Panda). Ang parehong mga grupo ay nagpapakita ng magkatulad na target na pamantayan at mga TTP (Mga Taktika, Mga Teknik, at Pamamaraan) na kinabibilangan ng side-loading at ang pag-deploy ng mga Cobalt Strike loader. Bilang karagdagan, ang Chome cookie stealer na nakikita sa LuminousMoth attack ay kahawig ng isang sira na bahagi ng mga nakaraang aktibidad ng HoneyMyte. Ang mga overlap sa imprastraktura ay naghahatid ng mga karagdagang link sa pagitan ng mga pangkat. Sa ngayon, hindi ito tiyak na matukoy kung ang LuminousMoth ay talagang isang bagong grupo ng hacker o kung ito ay isang binagong bersyon ng HoneyMyte na nilagyan ng bagong arsenal ng mga tool sa malware.
