LuminousMoth APT 追踪菲律宾和缅甸的目标

网络安全专家一直在追踪针对亚洲用户的新恶意软件活动。到目前为止,该行动背后的犯罪分子一直完全依赖鱼叉式网络钓鱼电子邮件。他们的活动已成功感染了菲律宾的 1,400 多名受害者和缅甸的约 100 名受害者。以别名 LuminousMoth APT 追踪的犯罪分子可能是活跃在该地区的一个更大的高级持续威胁 (APT) 组织——HoneyMyte 的一个分支。最近针对缅甸用户和组织的另一次攻击涉及KilllSomeOne 恶意软件

LuminousMoth APT 的有效负载通过被劫持的 USB 驱动器传播

黑客的有效载荷托管在 Dropbox 服务上,并在鱼叉式网络钓鱼电子邮件中找到了它的链接。收件人最终下载的文件是一个 RAR 压缩文件,它被伪装成一个 Microsoft Word 文档。运行后,恶意植入程序开始将数据泄露到攻击者的服务器。它还可以通过将其有效载荷植入连接的 USB 驱动器来横向传播。它的其他功能包括从 Google Chrome 浏览器窃取数据,以及将自己伪装成流行的 Zoom 应用程序的一个版本。

LuminousMoth APT 执行的数据窃取操作很简单——它会扫描硬盘驱动器中的特定文件格式,然后将它们传输到攻击者的服务器。它会定期执行此操作并进行额外检查以确保它不会复制已存在的数据。令人惊讶的是,考虑到攻击范围,浏览器窃取组件非常简单。它只针对谷歌浏览器,它只会尝试窃取 cookie 而不是其他信息。

到目前为止,研究人员一直无法确定菲律宾的行动似乎比缅甸成功得多的原因。 LuminousMoth APT 的间谍活动、网络基础设施和其他资源与 HoneyMyte APT 的特征显着重叠。