LuminousMoth APT
研究人员发现了一个大规模的攻击行动,他们将其归因于一个名为 LuminousMoth 的新 APT(高级持续威胁)组织。与 APT 相关的活动通常具有高度针对性,网络犯罪分子会针对他们想要破坏的特定实体定制感染链和部署的恶意软件威胁。然而,LuminousMoth 袭击造成了异常多的受害者——缅甸约 100 人,菲律宾接近 1400 人。活动的实际目标很可能代表了检测到的受害者的一小部分。黑客似乎在追捕来自两国和国外的政府实体。
感染链
最初的感染媒介似乎是一封鱼叉式网络钓鱼电子邮件,其中包含一个指向损坏文件的 Dropbox 下载链接。该文件假装是一个 Word 文档,但它是一个 RAR 存档,其中包含两个受损的 DLL 库和两个负责旁加载 DLL 的合法可执行文件。档案使用了诱饵名称,例如"COVID-19 Case 12-11-2020(MOTC).rar"和"DACU Projects.r01"。在缅甸,MOTC 代表运输和通信部,而 DACU 是发展援助协调单位。
在最初破坏系统后,LuminousMoth 采用不同的方法横向移动。威胁会扫描受感染设备以查找可移动媒体,例如 USB 驱动器。然后它创建隐藏目录来存储选择的文件。
后期开发工具
在某些选定的目标上,LuminousMoth 通过部署额外的威胁工具来升级攻击。信息安全研究人员注意到一种冒充流行的视频会议应用程序 Zoom 的窃取威胁。为了增加合法性,伪装具有有效的数字签名和证书。一旦启动,窃取者就会扫描受害者系统中的特定文件扩展名,并将它们泄露到命令和控制服务器(C2、C&C)。
威胁行为者还向特定系统提供了 Chrome cookie 窃取程序。该工具需要本地用户名才能访问包含它所需要的数据的两个文件。在运行一些测试后,网络安全研究人员确定该工具的目标是劫持并冒充目标的 Gmail 会话。
应该注意的是,LuminousMoth APT 广泛使用 Cobalt Strike 信标作为末级有效载荷。
LuminousMoth 是一个新的威胁演员吗?
LuminousMoth 攻击活动似乎与已经建立的名为 HoneyMyte(Mustang Panda)的与中国相关的 APT 进行的操作有一些惊人的相似之处。两组都显示了相似的目标标准和 TTP(战术、技术和程序),包括侧向装载和Cobalt Strike装载机的部署。此外,在 LuminousMoth 攻击中看到的 Chome cookie 窃取程序类似于过去 HoneyMyte 活动的损坏组件。基础设施的重叠提供了组之间的额外链接。目前还不能最终确定 LuminousMoth 是否确实是一个新的黑客组织,或者它是否是配备了新的恶意软件工具库的 HoneyMyte 的改进版本。