LuminousMoth APT 追踪菲律賓和緬甸的目標
網絡安全專家一直在追踪針對亞洲用戶的新惡意軟件活動。到目前為止,該行動背後的犯罪分子一直完全依賴魚叉式網絡釣魚電子郵件。他們的活動已成功感染了菲律賓的 1,400 多名受害者和緬甸的約 100 名受害者。以別名 LuminousMoth APT 追踪的犯罪分子可能是活躍在該地區的一個更大的高級持續威脅 (APT) 組織——HoneyMyte 的一個分支。最近針對緬甸用戶和組織的另一次攻擊涉及KilllSomeOne 惡意軟件。
LuminousMoth APT 的有效負載通過被劫持的 USB 驅動器傳播
黑客的有效載荷託管在 Dropbox 服務上,並在魚叉式網絡釣魚電子郵件中找到了它的鏈接。收件人最終下載的文件是一個 RAR 壓縮文件,它被偽裝成一個 Microsoft Word 文檔。運行後,惡意植入程序開始將數據洩露到攻擊者的服務器。它還可以通過將其有效載荷植入連接的 USB 驅動器來橫向傳播。它的其他功能包括從 Google Chrome 瀏覽器竊取數據,以及將自己偽裝成流行的 Zoom 應用程序的一個版本。
LuminousMoth APT 執行的數據竊取操作很簡單——它會掃描硬盤驅動器中的特定文件格式,然後將它們傳輸到攻擊者的服務器。它會定期執行此操作並進行額外檢查以確保它不會復制已存在的數據。令人驚訝的是,考慮到攻擊範圍,瀏覽器竊取組件非常簡單。它只針對谷歌瀏覽器,它只會嘗試竊取 cookie 而不是其他信息。
到目前為止,研究人員一直無法查明與緬甸相比,菲律賓的行動似乎更成功的原因。 LuminousMoth APT 的間諜活動、網絡基礎設施和其他資源與 HoneyMyte APT 的特徵顯著重疊。