LuminousMoth APT går efter mål i Filippinerne og Myanmar

Cybersikkerhedseksperter har sporet en ny malware-kampagne, der er målrettet mod brugere i Asien. Indtil videre har de kriminelle bag denne operation udelukkende været afhængige af spearphishing-e-mails. Deres kampagne har formået at inficere over 1.400 ofre i Filippinerne og omkring 100 i Myanmar. Kriminelle, der spores under aliaset LuminousMoth APT, kan være en underafdeling af en større Advanced Persistent Threat (APT) -gruppe, der er aktiv i regionen - HoneyMyte. Et andet nylig angreb mod brugere og organisationer i Myanmar involverede KilllSomeOne Malware .

LuminousMoth APTs nyttelast spredt gennem kaprede USB-drev

Nyttelasten for hackerne er hostet i Dropbox-tjenesten, og et link til den findes i de spearphishing e-mails. Den fil, som modtagere ender med at downloade, er et RAR-arkiv, der er forklædt til at ligne et Microsoft Word-dokument. Når det kører, begynder det ondsindede implantat at exfiltrere data til hackernes server. Det kan også sprede sig lateralt ved at plante sin nyttelast på tilsluttede USB-drev. Dens andre evner inkluderer stjæling af data fra Google Chrome-browseren samt forklædning som en version af den populære Zoom-app.

Datatyverifunktionen, som LuminousMoth APT udfører, er enkel - den scanner harddisken efter specifikke filformater og overfører dem derefter til angriberens server. Det gør det med jævne mellemrum og foretager ekstra kontrol for at sikre, at det ikke kopierer data, der allerede findes. Overraskende nok er browser-stjælekomponenten meget forenklet i betragtning af angrebets omfang. Det er kun målrettet mod Google Chrome, og det forsøger kun at stjæle cookies i stedet for andre oplysninger.

Indtil videre har forskere ikke været i stand til at identificere årsagen til, at operationen ser ud til at være så meget mere vellykket i Filippinerne sammenlignet med Myanmar. LuminousMoth APTs spionageoperationer, netværksinfrastruktur og andre ressourcer overlapper markant med egenskaberne ved HoneyMyte APT.