LuminousMoth APT

Дослідники виявили масштабну операцію атаки, яку вони приписують новій групі APT (Advanced Persistent Threat) під назвою LuminousMoth. Кампанії, пов’язані з APT, зазвичай націлені на кіберзлочинців, які адаптують ланцюжок зараження та розгорнуті загрози зловмисного програмного забезпечення для конкретної організації, яку вони прагнуть зламати. Однак атака LuminousMoth призвела до надзвичайно великої кількості жертв - близько 100 у М'янмі і близько 1400 на Філіппінах. Більш ніж ймовірно, що фактичні цілі кампанії представляють невелику групу виявлених жертв. Здається, хакери переслідують державні установи обох країн, а також за кордоном.

Інфекційний ланцюг

Початковим вектором зараження є фішинговий лист, що містить посилання для завантаження Dropbox, що веде до пошкодженого файлу. Файл видає себе за документ Word, але є архівом RAR, що містить дві скомпрометовані бібліотеки DLL і два законних виконуваних файли, яким поставлено завдання завантажувати DLL. В архівах використовувалися такі назви приманок, як «COVID-19 Case 12-11-2020 (MOTC).rar» і «DACU Projects.r01». У М'янмі MOTC означає Міністерство транспорту та зв'язку, а DACU — координаційний підрозділ допомоги розвитку.

Після початкового порушення системи LuminousMoth використовує інший метод для переміщення вбік. Загроза сканує скомпрометований пристрій на наявність знімних носіїв, таких як USB-накопичувачі. Потім він створює приховані каталоги для зберігання вибраних файлів.

Інструменти після експлуатації

На певні вибрані цілі LuminousMoth посилив атаку, розгорнувши додаткові загрозливі інструменти. Дослідники Infosec помітили загрозу зловмисника, яка імітує популярний додаток для відеоконференцій Zoom. Для додання легітимності маскування має дійсний цифровий підпис і сертифікат. Після запуску злодій сканує систему жертви на наявність певних розширень файлів і ексфільтрує їх на сервер командування та керування (C2, C&C).

Зловмисник також доставив викрадач cookie Chrome певним системам. Інструмент потребує локального імені користувача для доступу до двох файлів, що містять дані, які він шукає. Провівши кілька тестів, дослідники кібербезпеки визначили, що мета цього інструменту — захопити, а потім видавати себе за сеанси Gmail цілей.

Слід зазначити, що LuminousMoth APT широко використовує маяк Cobalt Strike як корисне навантаження кінцевої стадії.

Чи є LuminousMoth новим актором загрози?

Схоже, що кампанія атаки LuminousMoth має деяку вражаючу схожість з операціями, які проводяться вже створеною пов’язаною з Китаєм APT під назвою HoneyMyte (Mustang Panda). Обидві групи відображають подібні цільові критерії та TTP (тактика, техніка та процедури), які включають бокове завантаження та розгортання навантажувачів Cobalt Strike. Крім того, викрадач печива Chome, помічений під час атаки LuminousMoth, нагадує пошкоджений компонент минулої діяльності HoneyMyte. Перекриття в інфраструктурі забезпечують додаткові зв’язки між групами. На даний момент неможливо остаточно визначити, чи LuminousMoth справді нова група хакерів, чи це оновлена версія HoneyMyte, оснащена новим арсеналом шкідливих програм.