LuminousMoth APT

Forscher haben eine groß angelegte Angriffsoperation aufgedeckt, die sie einer neuen APT-Gruppe (Advanced Persistent Threat) namens LuminousMoth zuschreiben. APT-bezogene Kampagnen sind in der Regel sehr zielgerichtet, wobei die Cyberkriminellen die Infektionskette und die eingesetzten Malware-Bedrohungen auf die spezifische Einheit zuschneiden, die sie durchbrechen möchten. Der LuminousMoth-Angriff hat jedoch eine ungewöhnlich hohe Zahl von Opfern gefordert – etwa 100 in Myanmar und fast 1400 auf den Philippinen. Es ist mehr als wahrscheinlich, dass die tatsächlichen Ziele der Kampagne eine kleine Untergruppe der entdeckten Opfer darstellen. Die Hacker scheinen hinter Regierungsbehörden aus beiden Ländern sowie aus dem Ausland her zu sein.

Die Infektionskette

Der anfängliche Infektionsvektor scheint eine Spear-Phishing-E-Mail zu sein, die einen Dropbox-Download-Link enthält, der zu einer beschädigten Datei führt. Die Datei gibt vor, ein Word-Dokument zu sein, ist jedoch ein RAR-Archiv, das zwei kompromittierte DLL-Bibliotheken und zwei legitime ausführbare Dateien enthält, die mit dem seitlichen Laden der DLLs beauftragt sind. Die Archive verwendeten Ködernamen wie „COVID-19 Case 12-11-2020(MOTC).rar" und „DACU Projects.r01". In Myanmar steht MOTC für das Ministerium für Verkehr und Kommunikation, während DACU die Koordinierungsstelle für Entwicklungshilfe ist.

Nach der ersten Verletzung des Systems verwendet LuminousMoth eine andere Methode, um sich seitwärts zu bewegen. Die Bedrohung durchsucht das kompromittierte Gerät nach Wechselmedien wie USB-Laufwerken. Es erstellt dann versteckte Verzeichnisse, um ausgewählte Dateien zu speichern.

Tools nach der Ausbeutung

Auf bestimmte ausgewählte Ziele eskalierte LuminousMoth den Angriff durch den Einsatz zusätzlicher bedrohlicher Werkzeuge. Die Forscher von Infosec haben eine Diebstahlgefahr bemerkt, die die beliebte Videokonferenzanwendung Zoom imitiert. Um die Legitimität zu erhöhen, verfügt die Verkleidung über eine gültige digitale Signatur und ein Zertifikat. Einmal initiiert, scannt der Dieb das System des Opfers nach bestimmten Dateierweiterungen und exfiltriert diese auf einen Command-and-Control-Server (C2, C&C).

Der Bedrohungsakteur lieferte auch einen Chrome-Cookie-Stealer an bestimmte Systeme. Das Tool benötigt den lokalen Benutzernamen, um auf die beiden Dateien zuzugreifen, die die Daten enthalten, nach denen es gesucht wird. Nach einigen Tests stellten die Cybersicherheitsforscher fest, dass das Ziel dieses Tools darin besteht, die Gmail-Sitzungen der Ziele zu kapern und dann nachzuahmen.

Es sollte beachtet werden, dass das LuminousMoth APT in großem Umfang ein Cobalt-Strike-Beacon als Endstufen-Nutzlast verwendet.

Ist LuminousMoth ein neuer Bedrohungsakteur?

Es scheint, dass die Angriffskampagne von LuminousMoth einige auffallende Ähnlichkeiten mit Operationen aufweist, die von einem bereits etablierten chinesischen APT namens HoneyMyte (Mustang Panda) durchgeführt werden. Beide Gruppen weisen ähnliche Zielkriterien und TTPs (Taktik, Techniken und Verfahren) auf, die das Seitenladen und den Einsatz von Cobalt-Strike- Ladern umfassen. Darüber hinaus ähnelt der beim LuminousMoth-Angriff beobachtete Chome-Cookie-Stealer einer beschädigten Komponente früherer HoneyMyte-Aktivitäten. Überschneidungen in der Infrastruktur schaffen zusätzliche Verbindungen zwischen den Gruppen. Ob es sich bei LuminousMoth tatsächlich um eine neue Hackergruppe oder um eine überarbeitete Version von HoneyMyte mit einem neuen Arsenal an Schadprogrammen handelt, lässt sich derzeit nicht abschließend beurteilen.