LuminousMoth APT verfolgt Ziele auf den Philippinen und in Myanmar

Cybersicherheitsexperten haben eine neue Malware-Kampagne verfolgt, die auf Benutzer in Asien abzielt. Bisher haben sich die Kriminellen hinter dieser Operation ausschließlich auf Spearphishing-E-Mails verlassen. Ihre Kampagne hat es geschafft, über 1.400 Opfer auf den Philippinen und etwa 100 in Myanmar zu infizieren. Die Kriminellen, die unter dem Alias LuminousMoth APT verfolgt werden, könnten eine Unterabteilung einer größeren Gruppe von Advanced Persistent Threat (APT) sein, die in der Region aktiv ist – HoneyMyte. Ein weiterer kürzlicher Angriff auf Benutzer und Organisationen in Myanmar betraf die KilllSomeOne-Malware .

Die Nutzlast von LuminousMoth APT wird über entführte USB-Laufwerke verteilt

Die Nutzlast der Hacker wird auf dem Dropbox-Dienst gehostet, und ein Link dazu findet sich in den Spearphishing-E-Mails. Die Datei, die die Empfänger am Ende herunterladen, ist ein RAR-Archiv, das so getarnt wurde, dass es wie ein Microsoft Word-Dokument aussieht. Sobald das bösartige Implantat ausgeführt wird, beginnt es, Daten auf den Server der Angreifer zu exfiltrieren. Es kann sich auch seitlich ausbreiten, indem es seine Nutzlast auf angeschlossene USB-Laufwerke legt. Zu seinen weiteren Fähigkeiten gehört das Stehlen von Daten aus dem Google Chrome-Browser sowie das Verkleiden als Version der beliebten Zoom-App.

Der Vorgang des Datendiebstahls, den LuminousMoth APT ausführt, ist einfach – er scannt die Festplatte nach bestimmten Dateiformaten und überträgt diese dann auf den Server des Angreifers. Dies geschieht regelmäßig und führt zusätzliche Prüfungen durch, um sicherzustellen, dass keine bereits vorhandenen Daten kopiert werden. Überraschenderweise ist die Browser-Stealer-Komponente angesichts des Umfangs des Angriffs sehr simpel. Es zielt nur auf Google Chrome ab und versucht nur, Cookies anstelle anderer Informationen zu stehlen.

Warum die Operation auf den Philippinen im Vergleich zu Myanmar so viel erfolgreicher zu sein scheint, konnten Forscher bisher nicht feststellen. Der Spionagebetrieb, die Netzwerkinfrastruktur und andere Ressourcen von LuminousMoth APT überschneiden sich erheblich mit den Merkmalen des HoneyMyte APT.