LuminousMoth APT

Les chercheurs ont découvert une opération d'attaque à grande échelle qu'ils attribuent à un nouveau groupe APT (Advanced Persistent Threat) nommé LuminousMoth. Les campagnes liées à APT sont généralement très ciblées, les cybercriminels adaptant la chaîne d'infection et les menaces de logiciels malveillants déployés à l'entité spécifique qu'ils visent à violer. Cependant, l'attaque du LuminousMoth a fait un nombre inhabituellement élevé de victimes - environ 100 au Myanmar et près de 1400 aux Philippines. Il est plus que probable que les cibles réelles de la campagne représentent un petit sous-ensemble des victimes détectées. Les pirates semblent être après des entités gouvernementales des deux pays ainsi qu'à l'étranger.

La chaîne d'infection

Le vecteur d'infection initial semble être un e-mail de phishing contenant un lien de téléchargement Dropbox menant à un fichier corrompu. Le fichier prétend être un document Word mais est une archive RAR contenant deux bibliothèques DLL compromises et deux exécutables légitimes chargés de charger les DLL. Les archives utilisaient des noms d'appâts tels que "COVID-19 Case 12-11-2020(MOTC).rar" et "DACU Projects.r01". Au Myanmar, MOTC signifie ministère des Transports et des Communications, tandis que DACU est l'Unité de coordination de l'aide au développement.

Après la violation initiale du système, LuminousMoth utilise une méthode différente pour se déplacer latéralement. La menace analyse le périphérique compromis à la recherche de supports amovibles tels que des clés USB. Il crée ensuite des répertoires cachés pour stocker des fichiers sélectionnés.

Outils de post-exploitation

Sur certaines cibles choisies, LuminousMoth a intensifié l'attaque en déployant des outils menaçants supplémentaires. Les chercheurs d'Infosec ont remarqué une menace de vol qui se fait passer pour la populaire application de vidéoconférence Zoom. Pour ajouter de la légitimité, le déguisement a une signature numérique et un certificat valides. Une fois lancé, le voleur analyse le système de la victime à la recherche d'extensions de fichiers spécifiques et les exfiltre vers un serveur de commande et de contrôle (C2, C&C).

L'acteur de la menace a également livré un voleur de cookies Chrome à des systèmes spécifiques. L'outil a besoin du nom d'utilisateur local pour accéder aux deux fichiers contenant les données qu'il recherche. Après avoir effectué quelques tests, les chercheurs en cybersécurité ont déterminé que l'objectif de cet outil est de détourner puis d'usurper l'identité des sessions Gmail des cibles.

Il convient de noter que le LuminousMoth APT utilise largement une balise Cobalt Strike comme charge utile de phase finale.

LuminousMoth est-il un nouvel acteur menaçant ?

Il semble que la campagne d'attaque de LuminousMoth présente des similitudes frappantes avec les opérations menées par un APT chinois déjà établi nommé HoneyMyte (Mustang Panda). Les deux groupes affichent des critères cibles et des TTP (tactiques, techniques et procédures) similaires qui incluent le chargement latéral et le déploiement de chargeurs Cobalt Strike. De plus, le voleur de cookies Chome vu dans l'attaque LuminousMoth ressemble à un composant corrompu des activités passées de HoneyMyte. Les chevauchements dans l'infrastructure créent des liens supplémentaires entre les groupes. Pour le moment, il n'est pas possible de déterminer de manière concluante si LuminousMoth est bien un nouveau groupe de pirates informatiques ou s'il s'agit d'une version remaniée de HoneyMyte équipée d'un nouvel arsenal d'outils malveillants.

Tendance

Le plus regardé

Chargement...