Ruská společnost zaměřená na kybernetickou bezpečnost Kaspersky poprvé zaznamenala útoky v říjnu 2020. Útočníkem je skupina „LuminousMoth“, která je spojována s hackerskou skupinou HoneyMyte nebo Mustang Panda. Obě skupiny jsou výrazně podporovány čínskou vládou.
“V Myanmaru bylo zatím identifikováno asi 100 obětí, zatímco na Filipínách počet obětí vyskočil na téměř 1400. Cílem útoků bylo zasáhnout široký okruh cílů a následně se zaměřit na několik vybraných subjektů se strategickým významem”, uvedli vědci Mark Lechtik, Paul Rascagneres a Aseel Kayal. Jinak řečeno, průniky jsou současně rozsáhlé a úzce zaměřené, což umožňuje útočníkovi získat informace z vysoce profilovaných cílů.
Útočný vektorem je zaslání phishingového e-mailu obsahující odkaz pro stažení souboru z uložiště Dropbox. Po kliknutí vede do archivu RAR, který je navržen tak, aby napodoboval dokument aplikace MS Word. Archivní soubor obsahuje dvě škodlivé knihovny DLL (“version.dll” a “wwlib.dll”) a dvěma odpovídajícími spustitelnými soubory, které spouští malware.
Podle analytiků Kaspersky virus využívá jednotky USB k šíření malwaru na jiné hostitele pomocí „version.dll“. Účelem “wwlib.dll” je do kompromitovaného zařízení stáhnout malware Cobalt Strike ze vzdálené domény.
V některých případech útočník nainstaloval upravenou verzi aplikace Zoom, pomocí které přesouval citlivé soubory na ovládaný server. Ve snaze přestrojit nástroj za neškodný byl k podpisu softwaru použit platný digitální certifikát. Na některých infikovaných zařízení byl také spatřen druhý nástroj po exploataci, kradoucí cookies z prohlížeče Google Chrome.
Útočné aktivity operace LuminousMoth a jejich případné vazby na Mustang Panda APT mohou být také pokusem o změnu taktiky v reakci na obranná opatření. Díky přepracování nástrojů a vývoje nových a neznámých malwarů zakrývá jakékoli vazby na předchozí aktivity, poznamenal Kaspersky,
„APT jsou známí zaměřením svých útoků. Obvykle si vyberou soubor cílů, které jsou vybrány chirurgickou přesností. Útočné škodlivé vektory a nástroje jsou přizpůsobeny identitám nebo prostředí obětí. “, řekli vědci společnosti Kaspersky.
