LuminousMoth APT
Los investigadores han descubierto una operación de ataque a gran escala que atribuyen a un nuevo grupo APT (Advanced Persistent Threat) llamado LuminousMoth. Las campañas relacionadas con APT suelen estar muy dirigidas y los ciberdelincuentes adaptan la cadena de infección y las amenazas de malware implementadas a la entidad específica que pretenden violar. Sin embargo, el ataque LuminousMoth ha producido un número inusualmente alto de víctimas: alrededor de 100 en Myanmar y cerca de 1400 en Filipinas. Es más que probable que los objetivos reales de la campaña representen un pequeño subconjunto de las víctimas detectadas. Los piratas informáticos parecen estar detrás de entidades gubernamentales de ambos países y del extranjero.
La cadena de infección
El vector de infección inicial parece ser un correo electrónico de suplantación de identidad que contiene un enlace de descarga de Dropbox que conduce a un archivo dañado. El archivo pretende ser un documento de Word, pero es un archivo RAR que contiene dos bibliotecas DLL comprometidas y dos ejecutables legítimos encargados de cargar las DLL de forma lateral. Los archivos utilizaron nombres de cebo como 'COVID-19 Case 12-11-2020 (MOTC) .rar' y 'DACU Projects.r01'. En Myanmar, MOTC significa Ministerio de Transporte y Comunicaciones, mientras que DACU es la Unidad de Coordinación de Asistencia al Desarrollo.
Después de la violación inicial del sistema, LuminousMoth emplea un método diferente para moverse hacia los lados. La amenaza escanea el dispositivo comprometido en busca de medios extraíbles como unidades USB. Luego crea directorios ocultos para almacenar archivos seleccionados.
Herramientas posteriores a la explotación
En ciertos objetivos elegidos, LuminousMoth intensificó el ataque mediante el despliegue de herramientas amenazantes adicionales. Los investigadores de Infosec notaron una amenaza de ladrón que se hace pasar por la popular aplicación de videoconferencia Zoom. Para agregar legitimidad, el disfraz tiene una firma digital y un certificado válidos. Una vez iniciado, el ladrón escanea el sistema de la víctima en busca de extensiones de archivo específicas y las extrae a un servidor de comando y control (C2, C&C).
El actor de amenazas también entregó un ladrón de cookies de Chrome a sistemas específicos. La herramienta necesita el nombre de usuario local para acceder a los dos archivos que contienen los datos que busca. Después de ejecutar algunas pruebas, los investigadores de ciberseguridad determinaron que el objetivo de esta herramienta es secuestrar y luego hacerse pasar por las sesiones de Gmail de los objetivos.
Cabe señalar que LuminousMoth APT utiliza ampliamente una baliza Cobalt Strike como carga útil de etapa final.
¿Es LuminousMoth un nuevo actor de amenazas?
Parece que la campaña de ataque LuminousMoth tiene algunas similitudes sorprendentes con las operaciones llevadas a cabo por una APT relacionada con China ya establecida llamada HoneyMyte (Mustang Panda). Ambos grupos muestran criterios de destino y TTP (tácticas, técnicas y procedimientos) similares que incluyen la carga lateral y el despliegue de cargadores Cobalt Strike. Además, el ladrón de galletas Chome visto en el ataque LuminousMoth se asemeja a un componente dañado de actividades pasadas de HoneyMyte. Las superposiciones en la infraestructura brindan vínculos adicionales entre los grupos. Por el momento, no se puede determinar de manera concluyente si LuminousMoth es de hecho un nuevo grupo de hackers o si se trata de una versión renovada de HoneyMyte equipada con un nuevo arsenal de herramientas de malware.
