LuminousMoth APT podąża za celami na Filipinach i w Birmie

Eksperci ds. cyberbezpieczeństwa śledzą nową kampanię złośliwego oprogramowania, która jest wymierzona w użytkowników w Azji. Do tej pory przestępcy stojący za tą operacją polegali wyłącznie na wiadomościach e-mail typu spearphishing. Ich kampania zdołała zarazić ponad 1400 ofiar na Filipinach i około 100 w Birmie. Przestępcy, śledzeni pod pseudonimem LuminousMoth APT, mogą być pododdziałem większej grupy Advanced Persistent Threat (APT) działającej w regionie – HoneyMyte. Inny niedawny atak na użytkowników i organizacje w Birmie dotyczył KilllSomeOne Malware .

Ładunek LuminousMoth APT rozprzestrzenia się przez przejęte dyski USB

Ładunek hakerów jest przechowywany w usłudze Dropbox, a link do niej znajduje się w wiadomościach e-mail typu spearphishing. Plik, który odbiorcy ostatecznie pobierają, to archiwum RAR, które zostało zamaskowane tak, aby wyglądało jak dokument Microsoft Word. Po uruchomieniu złośliwy implant zaczyna eksfiltrować dane na serwer atakujących. Może również rozprzestrzeniać się na boki, umieszczając swój ładunek na podłączonych dyskach USB. Jego inne możliwości obejmują kradzież danych z przeglądarki Google Chrome, a także ukrywanie się jako wersja popularnej aplikacji Zoom.

Operacja kradzieży danych, którą wykonuje LuminousMoth APT, jest prosta – skanuje dysk twardy w poszukiwaniu określonych formatów plików, a następnie przesyła je na serwer atakującego. Robi to okresowo i przeprowadza dodatkowe kontrole, aby upewnić się, że nie skopiuje już istniejących danych. Co zaskakujące, komponent do kradzieży przeglądarki jest bardzo uproszczony, biorąc pod uwagę zakres ataku. Jest skierowany tylko do przeglądarki Google Chrome i próbuje tylko wykraść pliki cookie zamiast innych informacji.

Jak dotąd naukowcy nie byli w stanie wskazać przyczyny, dla której operacja wydaje się być o wiele bardziej skuteczna na Filipinach niż w Birmie. Operacje szpiegowskie, infrastruktura sieciowa i inne zasoby LuminousMoth APT w znacznym stopniu pokrywają się z cechami HoneyMyte APT.