LuminousMoth APT poursuit des cibles aux Philippines et au Myanmar

Des experts en cybersécurité ont suivi une nouvelle campagne de logiciels malveillants, qui cible les utilisateurs en Asie. Jusqu'à présent, les criminels à l'origine de cette opération se sont appuyés exclusivement sur les e-mails de harponnage. Leur campagne a réussi à infecter plus de 1 400 victimes aux Philippines et une centaine au Myanmar. Les criminels, suivis sous le pseudonyme LuminousMoth APT, pourraient être une sous-division d'un groupe plus important de menaces persistantes avancées (APT) actives dans la région - HoneyMyte. Une autre attaque récente contre des utilisateurs et des organisations au Myanmar a impliqué le logiciel malveillant KilllSomeOne .

La charge utile de LuminousMoth APT se propage à travers des clés USB détournées

La charge utile des pirates est hébergée sur le service Dropbox, et un lien vers celui-ci se trouve dans les e-mails de harponnage. Le fichier que les destinataires finissent par télécharger est une archive RAR qui a été déguisée pour ressembler à un document Microsoft Word. Une fois exécuté, l'implant malveillant commence à exfiltrer des données vers le serveur des attaquants. Il peut également se propager latéralement en plantant sa charge utile sur des clés USB connectées. Ses autres capacités incluent le vol de données du navigateur Google Chrome, ainsi que le fait de se déguiser en version de la populaire application Zoom.

L'opération de vol de données, que le LuminousMoth APT exécute, est simple - il recherchera sur le disque dur des formats de fichiers spécifiques, puis les transférera vers le serveur de l'attaquant. Il le fait périodiquement et effectue des vérifications supplémentaires pour s'assurer qu'il ne copiera pas les données qui existent déjà. Étonnamment, le composant de vol de navigateur est très simpliste, compte tenu de l'ampleur de l'attaque. Il ne cible que Google Chrome et essaie uniquement de voler des cookies au lieu d'autres informations.

Jusqu'à présent, les chercheurs n'ont pas été en mesure de déterminer la raison pour laquelle l'opération semble être beaucoup plus réussie aux Philippines qu'au Myanmar. Les opérations d'espionnage, l'infrastructure réseau et d'autres ressources de LuminousMoth APT se chevauchent de manière significative avec les caractéristiques de HoneyMyte APT.