LuminousMoth APT

Araştırmacılar, LuminousMoth adlı yeni bir APT (Gelişmiş Kalıcı Tehdit) grubuna bağladıkları büyük ölçekli bir saldırı operasyonunu ortaya çıkardılar. APT ile ilgili kampanyalar, genellikle, siber suçlular tarafından bulaşma zincirini ve dağıtılan kötü amaçlı yazılım tehditlerini, ihlal etmeyi amaçladıkları belirli varlığa göre uyarlayarak yüksek oranda hedeflenir. Bununla birlikte, LuminousMoth saldırısı alışılmadık derecede yüksek sayıda kurban üretti - Myanmar'da 100 civarında ve Filipinler'de 1400'e yakın. Kampanyanın gerçek hedeflerinin, tespit edilen kurbanların küçük bir alt kümesini temsil etmesi daha olasıdır. Bilgisayar korsanları, her iki ülkedeki ve yurtdışındaki devlet kurumlarının peşinde görünüyor.

Enfeksiyon Zinciri

İlk bulaşma vektörü, bozuk bir dosyaya yol açan bir Dropbox indirme bağlantısı içeren bir hedef odaklı kimlik avı e-postası gibi görünüyor. Dosya bir Word belgesi gibi görünüyor, ancak güvenliği ihlal edilmiş iki DLL kitaplığı ve DLL'leri yandan yüklemekle görevli iki meşru yürütülebilir dosya içeren bir RAR arşividir. Arşivler, 'COVID-19 Case 12-11-2020(MOTC).rar' ve 'DACU Projects.r01' gibi yem adlarını kullandı. Myanmar'da MOTC, Ulaştırma ve Haberleşme Bakanlığı'nın kısaltmasıyken DACU, Kalkınma Yardımı Koordinasyon Birimi'dir.

Sistemin ilk ihlalinden sonra, LuminousMoth yana doğru hareket etmek için farklı bir yöntem kullanır. Tehdit, güvenliği ihlal edilmiş aygıtı USB sürücüler gibi çıkarılabilir ortamlar için tarar. Ardından, seçilen dosyaları depolamak için gizli dizinler oluşturur.

Sömürü Sonrası Araçlar

LuminousMoth, seçilen belirli hedeflere ek tehdit araçları dağıtarak saldırıyı tırmandırdı. Infosec araştırmacıları, popüler video konferans uygulaması Zoom'un kimliğine bürünen bir hırsız tehdidi fark etti. Meşruiyet eklemek için kılık, geçerli bir dijital imza ve sertifikaya sahiptir. Bir kez başlatıldığında, hırsız kurbanın sistemini belirli dosya uzantıları için tarar ve bunları bir Komuta ve Kontrol sunucusuna (C2, C&C) aktarır.

Tehdit aktörü ayrıca belirli sistemlere bir Chrome çerez hırsızı da gönderdi. Araç, peşinde olduğu verileri içeren iki dosyaya erişmek için yerel kullanıcı adına ihtiyaç duyar. Siber güvenlik araştırmacıları, bazı testler yaptıktan sonra, bu aracın amacının, hedeflerin Gmail oturumlarını ele geçirmek ve ardından taklit etmek olduğunu belirledi.

LuminousMoth APT'nin son aşama yükü olarak yoğun bir şekilde bir Cobalt Strike beacon kullandığı belirtilmelidir.

LuminousMoth Yeni Bir Tehdit Aktörü mü?

Görünüşe göre LuminousMoth saldırı kampanyası, HoneyMyte (Mustang Panda) adlı, Çinlilerle ilişkili, halihazırda kurulmuş bir APT tarafından yürütülen operasyonlarla bazı çarpıcı benzerlikler taşıyor. Her iki grup da benzer hedef kriterleri ve yandan yüklemeyi ve Cobalt Strike yükleyicilerin konuşlandırılmasını içeren TTP'leri (Taktikler, Teknikler ve Prosedürler) görüntüler. Ayrıca, LuminousMoth saldırısında görülen Chome çerez hırsızı, geçmiş HoneyMyte etkinliklerinin bozuk bir bileşenine benziyor. Altyapıdaki örtüşmeler, gruplar arasında ek bağlantılar sağlar. Şu anda LuminousMoth'un gerçekten yeni bir hacker grubu mu yoksa yeni bir kötü amaçlı yazılım araçları cephaneliği ile donatılmış HoneyMyte'nin yenilenmiş bir versiyonu mu olduğu kesin olarak belirlenemiyor.

trend

En çok görüntülenen

Yükleniyor...