LuminousMoth APT

Các nhà nghiên cứu đã phát hiện ra một hoạt động tấn công quy mô lớn mà họ gán cho một nhóm APT (Mối đe dọa liên tục nâng cao) mới có tên là LuminousMoth. Các chiến dịch liên quan đến APT thường được nhắm mục tiêu cao với việc tội phạm mạng điều chỉnh chuỗi lây nhiễm và các mối đe dọa phần mềm độc hại được triển khai cho thực thể cụ thể mà chúng đang nhắm tới để vi phạm. Tuy nhiên, cuộc tấn công LuminousMoth đã tạo ra một số lượng nạn nhân cao bất thường - khoảng 100 ở Myanmar và gần 1400 ở Philippines. Nhiều khả năng là các mục tiêu thực tế của chiến dịch đại diện cho một nhóm nhỏ các nạn nhân được phát hiện. Các tin tặc dường như đang theo đuổi các cơ quan chính phủ từ cả hai quốc gia cũng như nước ngoài.

Chuỗi lây nhiễm

Vectơ lây nhiễm ban đầu dường như là một email lừa đảo trực tuyến chứa liên kết tải xuống Dropbox dẫn đến tệp bị hỏng. Tệp giả mạo là một tài liệu Word nhưng là một kho lưu trữ RAR chứa hai thư viện DLL bị xâm nhập và hai tệp thực thi hợp pháp được giao nhiệm vụ tải bên các tệp DLL. Các kho lưu trữ đã sử dụng các tên mồi như 'COVID-19 Case 12-11-2020 (MOTC) .rar' và 'DACU Projects.r01.' Ở Myanmar, MOTC là viết tắt của Bộ Giao thông và Truyền thông, trong khi DACU là Đơn vị Điều phối Tài sản Phát triển.

Sau lần vi phạm hệ thống đầu tiên, LuminousMoth sử dụng một phương pháp khác để di chuyển sang một bên. Mối đe dọa quét thiết bị bị xâm nhập để tìm phương tiện di động như ổ USB. Sau đó, nó tạo các thư mục ẩn để lưu trữ các tập tin được chọn.

Các công cụ sau khai thác

Trên một số mục tiêu đã chọn, LuminousMoth leo thang cuộc tấn công bằng cách triển khai các công cụ đe dọa bổ sung. Các nhà nghiên cứu của Infosec nhận thấy một mối đe dọa đánh cắp mạo danh ứng dụng hội nghị truyền hình nổi tiếng Zoom. Để thêm tính hợp pháp, lớp ngụy trang có chữ ký số và chứng chỉ hợp lệ. Sau khi bắt đầu, kẻ trộm sẽ quét hệ thống của nạn nhân để tìm các phần mở rộng tệp cụ thể và chuyển chúng đến máy chủ Command-and-Control (C2, C&C).

Kẻ đe dọa cũng phân phối trình đánh cắp cookie của Chrome tới các hệ thống cụ thể. Công cụ cần tên người dùng cục bộ để truy cập hai tệp chứa dữ liệu sau đó. Sau khi chạy một số thử nghiệm, các nhà nghiên cứu an ninh mạng xác định rằng mục tiêu của công cụ này là chiếm quyền điều khiển và sau đó mạo danh các phiên Gmail của các mục tiêu.

Cần lưu ý rằng LuminousMoth APT sử dụng rộng rãi đèn hiệu Cobalt Strike làm trọng tải ở giai đoạn cuối.

LuminousMoth có phải là một diễn viên mới?

Có vẻ như chiến dịch tấn công LuminousMoth mang một số điểm tương đồng nổi bật với các chiến dịch được thực hiện bởi một APT có liên quan đến Trung Quốc tên là HoneyMyte (Mustang Panda). Cả hai nhóm đều hiển thị các tiêu chí mục tiêu tương tự và các TTP (Chiến thuật, Kỹ thuật và Thủ tục) bao gồm tải bên và triển khai bộ tải Cobalt Strike. Ngoài ra, kẻ đánh cắp cookie Chome được thấy trong cuộc tấn công LuminousMoth giống như một thành phần bị hỏng của các hoạt động HoneyMyte trong quá khứ. Sự chồng chéo trong cơ sở hạ tầng cung cấp các liên kết bổ sung giữa các nhóm. Hiện tại vẫn chưa thể xác định chính xác liệu LuminousMoth có thực sự là một nhóm hacker mới hay đó là phiên bản cải tiến của HoneyMyte được trang bị kho công cụ phần mềm độc hại mới.