LuminousMoth APT
研究人員發現了一個大規模的攻擊行動,他們將其歸因於一個名為 LuminousMoth 的新 APT(高級持續威脅)組織。與 APT 相關的活動通常具有高度針對性,網絡犯罪分子會針對他們想要破壞的特定實體定制感染鍊和部署的惡意軟件威脅。然而,LuminousMoth 襲擊造成了異常多的受害者——緬甸約 100 人,菲律賓接近 1400 人。活動的實際目標很可能代表了檢測到的受害者的一小部分。黑客似乎在追捕來自兩國和國外的政府實體。
感染鏈
最初的感染媒介似乎是一個魚叉式網絡釣魚電子郵件,其中包含一個指向損壞文件的 Dropbox 下載鏈接。該文件假裝是一個 Word 文檔,但它是一個 RAR 存檔,其中包含兩個受損的 DLL 庫和兩個負責旁加載 DLL 的合法可執行文件。檔案使用了誘餌名稱,例如"COVID-19 Case 12-11-2020(MOTC).rar"和"DACU Projects.r01"。在緬甸,MOTC 代表運輸和通信部,而 DACU 是發展援助協調單位。
在最初破壞系統後,LuminousMoth 採用不同的方法橫向移動。威脅會掃描受感染設備以查找可移動媒體,例如 USB 驅動器。然後它創建隱藏目錄來存儲選擇的文件。
後期開發工具
在某些選定的目標上,LuminousMoth 通過部署額外的威脅工具來升級攻擊。信息安全研究人員注意到一種冒充流行的視頻會議應用程序 Zoom 的竊取威脅。為了增加合法性,偽裝具有有效的數字簽名和證書。一旦啟動,竊取者就會掃描受害者係統中的特定文件擴展名,並將它們洩露到命令和控制服務器(C2、C&C)。
威脅行為者還向特定係統提供了 Chrome cookie 竊取程序。該工具需要本地用戶名才能訪問包含它所需要的數據的兩個文件。在運行一些測試後,網絡安全研究人員確定該工具的目標是劫持並冒充目標的 Gmail 會話。
應該指出的是,LuminousMoth APT 廣泛使用 Cobalt Strike 信標作為末級有效載荷。
LuminousMoth 是一個新的威脅演員嗎?
LuminousMoth 攻擊活動似乎與一個名為 HoneyMyte(Mustang Panda)的已經建立的與中國有關的 APT 進行的操作有一些驚人的相似之處。兩組都顯示了相似的目標標準和 TTP(戰術、技術和程序),包括側向裝載和Cobalt Strike裝載機的部署。此外,在 LuminousMoth 攻擊中看到的 Chome cookie 竊取程序類似於過去 HoneyMyte 活動的損壞組件。基礎設施的重疊提供了組之間的額外鏈接。目前還不能最終確定 LuminousMoth 是否確實是一個新的黑客組織,或者它是否是配備了新的惡意軟件工具庫的 HoneyMyte 的改進版本。