„LuminousMoth APT“ vyksta po tikslų Filipinuose ir Mianmare

Kibernetinio saugumo ekspertai stebėjo naują kenkėjiškų programų kampaniją, skirtą Azijos vartotojams. Iki šiol šios operacijos nusikaltėliai rėmėsi išskirtinai elektroniniais laiškais. Jų kampanija sugebėjo užkrėsti daugiau nei 1 400 aukų Filipinuose ir apie 100 Mianmare. Nusikaltėliai, kuriuos seka slapyvardis „LuminousMoth APT“, gali būti didesnės išplėstinės nuolatinių grėsmių (APT) grupės, veikiančios regione, - „HoneyMyte“ - padalinys. Kitas neseniai Mianmare įvykdytas išpuolis prieš vartotojus ir organizacijas buvo susijęs su kenkėjiška programa „KilllSomeOne“ .

„LuminousMoth“ APT naudingoji apkrova plinta per pagrobtus USB diskus

Įsilaužėlių naudingoji apkrova yra „Dropbox“ tarnyboje, o nuoroda į ją yra surandama elektroniniuose el. Laiškuose. Failas, kurį gavėjai baigia atsisiųsti, yra RAR archyvas, kuris buvo užmaskuotas atrodyti kaip „Microsoft Word“ dokumentas. Paleidus kenkėjišką implantą, duomenys pradedami filtruoti į užpuolikų serverį. Jis taip pat gali plisti į šoną, naudingąją apkrovą pasodindamas į prijungtus USB diskus. Kiti jos sugebėjimai apima duomenų vagystę iš „Google Chrome“ naršyklės ir maskavimąsi kaip populiarios „Zoom“ programos versiją.

Duomenų vagystės operacija, kurią vykdo „LuminousMoth APT“, yra paprasta - ji nuskaitys standžiajame diske, ar nėra konkrečių failų formatų, ir tada perduos juos į užpuoliko serverį. Tai daro periodiškai ir papildomai tikrina, ar nekopijuos jau esamų duomenų. Keista, kad naršyklės vagystės komponentas yra labai paprastas, atsižvelgiant į atakos mastą. Jis skirtas tik „Google Chrome“ ir bando pavogti tik slapukus, o ne kitą informaciją.

Kol kas mokslininkams nepavyko nustatyti priežasties, kodėl operacija Filipinuose atrodo daug sėkmingesnė, palyginti su Mianmaru. „LuminousMoth APT“ šnipinėjimo operacijos, tinklo infrastruktūra ir kiti ištekliai labai sutampa su „HoneyMyte APT“ bruožais.