LuminousMothAPTがフィリピンとミャンマーのターゲットを追いかける

サイバーセキュリティの専門家は、アジアのユーザーを対象とした新しいマルウェアキャンペーンを追跡しています。これまでのところ、この操作の背後にある犯罪者は、スピアフィッシングメールのみに依存してきました。彼らのキャンペーンは、フィリピンで1,400人以上、ミャンマーで約100人の犠牲者に感染しました。別名LuminousMothAPTで追跡されている犯罪者は、この地域で活動しているより大きなAdvanced Persistent Threat(APT)グループであるHoneyMyteの下位区分である可能性があります。ミャンマーのユーザーと組織に対する別の最近の攻撃には、 KilllSomeOneマルウェアが含まれていました。

LuminousMothAPTのペイロードがハイジャックされたUSBドライブを介して拡散

ハッカーのペイロードはDropboxサービスでホストされており、ハッカーへのリンクはスピアフィッシングメールに記載されています。受信者がダウンロードするファイルは、MicrosoftWord文書のように見せかけたRARアーカイブです。実行されると、悪意のあるインプラントは攻撃者のサーバーにデータを盗み出し始めます。また、接続されたUSBドライブにペイロードを配置することにより、横方向に広がることもできます。その他の機能には、Google Chromeブラウザーからデータを盗むことや、人気のあるZoomアプリのバージョンになりすますことが含まれます。

LuminousMoth APTが実行するデータ盗難操作は簡単です。ハードドライブをスキャンして特定のファイル形式を探し、攻撃者のサーバーに転送します。これを定期的に実行し、既存のデータをコピーしないように追加のチェックを実行します。驚いたことに、攻撃の範囲を考えると、ブラウザスティーラーコンポーネントは非常に単純です。 Google Chromeのみを対象とし、他の情報ではなくCookieのみを盗もうとします。

これまでのところ、研究者は、フィリピンでの作戦がミャンマーと比較してはるかに成功しているように見える理由を特定することができませんでした。 LuminousMoth APTのスパイ活動、ネットワークインフラストラクチャ、およびその他のリソースは、HoneyMyteAPTの特性と大幅に重複しています。