LuminousMoth APT går etter mål på Filippinene og Myanmar

Cybersecurity-eksperter har sporet en ny skadelig kampanje som retter seg mot brukere i Asia. Så langt har de kriminelle bak denne operasjonen stole på utelukkende e-post fra e-post. Kampanjen deres har klart å smitte over 1400 ofre på Filippinene og rundt 100 i Myanmar. Kriminelle, sporet under aliaset LuminousMoth APT, kan være en underavdeling av en større Advanced Persistent Threat (APT) -gruppe som er aktiv i regionen - HoneyMyte. Et nytt nylig angrep mot brukere og organisasjoner i Myanmar involverte KilllSomeOne Malware .

LuminousMoth APTs nyttelast spredt gjennom kaprede USB-stasjoner

Nyttelasten til hackerne er vert for Dropbox-tjenesten, og en lenke til den finnes i spearphishing-e-postene. Filen som mottakerne ender med å laste ned er et RAR-arkiv som er blitt forkledd for å ligne et Microsoft Word-dokument. Når det kjører, begynner det ondsinnede implantatet å exfiltrere data til angriperens server. Den kan også spre seg lateralt ved å plante nyttelasten på tilkoblede USB-stasjoner. Dens andre evner inkluderer å stjele data fra Google Chrome-nettleseren, i tillegg til å forkle seg som en versjon av den populære Zoom-appen.

Datatyverioperasjonen, som LuminousMoth APT utfører, er enkel - den vil skanne harddisken for bestemte filformater og deretter overføre dem til angriperens server. Den gjør dette med jevne mellomrom og gjør ekstra kontroller for å sikre at den ikke kopierer data som allerede eksisterer. Overraskende nok er nettleserstjelerkomponenten veldig enkel, med tanke på angrepets omfang. Den retter seg bare mot Google Chrome, og den prøver bare å stjele informasjonskapsler i stedet for annen informasjon.

Så langt har forskere ikke klart å finne ut årsaken til at operasjonen ser ut til å være så mye mer vellykket på Filippinene sammenlignet med Myanmar. LuminousMoth APTs spionasjeoperasjoner, nettverksinfrastruktur og andre ressurser overlapper betydelig med egenskapene til HoneyMyte APT.