LuminousMoth APT

研究者は、LuminousMothという名前の新しいAPT（Advanced Persistent Threat）グループに起因する大規模な攻撃操作を発見しました。 APT関連のキャンペーンは通常、感染チェーンを調整するサイバー犯罪者と、侵害を狙っている特定のエンティティに対するマルウェアの脅威の展開を標的にしています。しかし、LuminousMothの攻撃により、非常に多くの犠牲者が出ました。ミャンマーでは約100人、フィリピンでは1400人近くです。キャンペーンの実際のターゲットは、検出された犠牲者の小さなサブセットを表している可能性が高いです。ハッカーは、両国および海外の政府機関を追跡しているようです。

感染チェーン

最初の感染ベクトルは、破損したファイルにつながるDropboxダウンロードリンクを含むスピアフィッシングメールのようです。このファイルはWord文書のふりをしますが、2つの侵害されたDLLライブラリとDLLのサイドロードを担当する2つの正当な実行可能ファイルを含むRARアーカイブです。アーカイブでは、「COVID-19ケース12-11-2020（MOTC）.rar」や「DACUProjects.r01」などの餌の名前が使用されていました。ミャンマーでは、MOTCは運輸通信省の略であり、DACUは開発支援調整ユニットです。

システムの最初の違反の後、LuminousMothは横に移動するために別の方法を採用しています。脅威は、侵害されたデバイスをスキャンして、USBドライブなどのリムーバブルメディアを探します。次に、選択したファイルを保存するための隠しディレクトリを作成します。

エクスプロイト後のツール

選択した特定のターゲットで、LuminousMothは追加の脅威ツールを展開することで攻撃をエスカレートさせました。 Infosecの研究者は、人気のあるビデオ会議アプリケーションZoomになりすます盗みの脅威に気づきました。正当性を追加するために、変装には有効なデジタル署名と証明書があります。開始されると、スティーラーは被害者のシステムをスキャンして特定のファイル拡張子を探し、それらをコマンドアンドコントロールサーバー（C2、C＆C）に盗み出します。

攻撃者はまた、特定のシステムにChromeCookieスティーラーを配信しました。ツールは、後のデータを含む2つのファイルにアクセスするために、ローカルユーザー名を必要とします。いくつかのテストを実行した後、サイバーセキュリティの研究者は、このツールの目的がターゲットのGmailセッションを乗っ取って偽装することであると判断しました。

LuminousMoth APTは、最終段階のペイロードとしてCobaltStrikeビーコンを広範囲に使用していることに注意してください。

LuminousMothは新しい脅威アクターですか？

LuminousMoth攻撃キャンペーンは、HoneyMyte（Mustang Panda）という名前のすでに確立された中国関連のAPTによって実行される操作といくつかの顕著な類似点を持っているようです。どちらのグループも、サイドローディングとコバルトストライクローダーの展開を含む、同様のターゲット基準とTTP（戦術、技術、手順）を表示します。さらに、LuminousMoth攻撃で見られるChome cookie stealerは、過去のHoneyMyteアクティビティの破損したコンポーネントに似ています。インフラストラクチャの重複により、グループ間に追加のリンクが提供されます。現時点では、LuminousMothが実際に新しいハッカーグループであるのか、それともマルウェアツールの新しい武器を備えたHoneyMyteの改良版であるのかを決定的に判断することはできません。