LuminousMoth APT går efter mål i Filippinerna och Myanmar

Cybersäkerhetsexperter har spårat en ny kampanj mot skadlig programvara som riktar sig till användare i Asien. Hittills har brottslingarna bakom denna operation förlitar sig på uteslutande e-postmeddelanden. Deras kampanj har lyckats infektera över 1400 offer i Filippinerna och cirka 100 i Myanmar. Kriminella, spårade under aliaset LuminousMoth APT, kan vara en underavdelning av en större Advanced Persistent Threat (APT) -grupp som är aktiv i regionen - HoneyMyte. En ny attack mot användare och organisationer i Myanmar nyligen involverade KilllSomeOne Malware .

LuminousMoth APT: s nyttolast sprids genom kapade USB-enheter

Hackarnas nyttolast är värd för Dropbox-tjänsten, och en länk till den finns i spearphishing-e-postmeddelandena. Filen som mottagarna slutar ladda ner är ett RAR-arkiv som har förklättats för att se ut som ett Microsoft Word-dokument. När det har körts börjar det skadliga implantatet att exfiltrera data till angriparens server. Den kan också spridas i sidled genom att plantera nyttolasten på anslutna USB-enheter. Dess andra förmågor inkluderar att stjäla data från Google Chrome-webbläsaren, samt att förkläda sig som en version av den populära Zoom-appen.

Datastöldfunktionen, som LuminousMoth APT utför, är enkel - den kommer att skanna hårddisken efter specifika filformat och sedan överföra dem till angriparens server. Det gör detta regelbundet och gör extra kontroller för att säkerställa att det inte kopierar data som redan finns. Överraskande nog är webbläsarens stjälkomponent väldigt enkel, med tanke på attackens omfattning. Det riktar sig bara till Google Chrome, och det försöker bara stjäla kakor istället för annan information.

Hittills har forskare inte kunnat hitta orsaken till att operationen verkar vara så mycket mer framgångsrik i Filippinerna jämfört med Myanmar. LuminousMoth APTs spioneringsverksamhet, nätverksinfrastruktur och andra resurser överlappar betydligt med egenskaperna hos HoneyMyte APT.