Μια κινεζική APT hacking ομάδα διανέμει fake Zoom software για να κατασκοπεύσει στόχους στη Νοτιοανατολική Ασία. Η ομάδα, που ονομάστηκε “LuminousMoth” από την εταιρεία κυβερνοασφάλειας “Kaspersky”, επικεντρώνεται στην κυβερνο-κατασκοπεία και την κλοπή πληροφοριών από στόχους υψηλού προφίλ.
Η εν λόγω ομάδα δραστηριοποιείται τουλάχιστον από τον Οκτώβριο του 2020, απαριθμώντας τουλάχιστον 100 θύματα στη Μιανμάρ και σχεδόν 1.400 στις Φιλιππίνες. Ωστόσο, ο πραγματικός αριθμός των θυμάτων εκτιμάται ότι είναι πολύ μεγαλύτερος. Οι βασικοί στόχοι της LuminousMoth είναι κυβερνητικοί φορείς τόσο στις προαναφερθείσες χώρες όσο και σε άλλες ανά τον κόσμο.
Διαβάστε επίσης: Golang: Νέο ransomware δείχνει ότι οι χάκερς τη χρησιμοποιούν όλο και περισσότερο
Η APT ομάδα ξεκινά τις επιθέσεις της με την αποστολή phishing email που περιέχουν download links για το Dropbox σε ένα αρχείο .RAR, με ονομασίες που σχετίζονται με πολιτικά θέματα ή την πανδημία του COVID-19. Αυτό το αρχείο περιέχει δύο κακόβουλα αρχεία .DLL, τα οποία μπορούν, στη συνέχεια, να αναπτύξουν κακόβουλα εκτελέσιμα σε ένα μολυσμένο σύστημα.
Μόλις ολοκληρωθεί αυτό το στάδιο μόλυνσης, η LuminousMoth κατεβάζει ένα beacon και φορτώνει δύο κακόβουλες βιβλιοθήκες, με σκοπό να δημιουργήσει επιμονή και να αντιγράψει το malware σε όλες τις αφαιρούμενες μονάδες αποθήκευσης που είναι συνδεδεμένες στο σύστημα του θύματος.
Δείτε ακόμη: APT ομάδα στοχεύει διπλωμάτες σε Αφρική/Μέση Ανατολή
Σε ορισμένες περιπτώσεις που παρατήρησε η Kaspersky, οι χάκερς ανέπτυξαν, στη συνέχεια, ένα fake Zoom app, εκμεταλλευόμενοι το γεγονός ότι πρόκειται για ένα software που χρησιμοποιείται – μαζί με το Microsoft Teams και άλλα – από πολλές επιχειρήσεις που αναγκάστηκαν να καταφύγουν στην απομακρυσμένη εργασία λόγω της πανδημίας.
Πρόταση: Facebook: Διέκοψε επιθέσεις Ιρανών hackers που στόχευαν αμυντικές εταιρείες
Το software, πίσω από το οποίο βρίσκεται ένας οργανισμός στη Σαγκάη, χρησιμοποιείται στην πραγματικότητα για την εξαγωγή αρχείων που ενδιαφέρουν τη LuminousMoth. Κάθε αρχείο που βρίσκεται με προκαθορισμένες επεκτάσεις, αντιγράφεται και μεταφέρεται σε C2 server.
Η LuminousMoth αναζητά επίσης cookies και credentials, συμπεριλαμβανομένων εκείνων που χρησιμοποιούνται σε λογαριασμούς Gmail.
Οι κακόβουλες δραστηριότητες της APT ομάδας φαίνεται επίσης να αλληλεπικαλύπτονται με την HoneyMyte / Mustang Panda, μια άλλη κινεζική ομάδα που συνδέεται με επίθεση εναντίον του γραφείου του προέδρου της Μιανμάρ.
Η LuminousMoth και η HoneyMyte έχουν ακολουθήσει παρόμοιες τακτικές κατά τη των διάρκεια των εκστρατειών τους, συμπεριλαμβανομένων των C2 overlaps, του .DLL side-loading, της ανάπτυξης Cobalt Strike beacons και της παρόμοιας λειτουργικότητας κλοπής cookies.
Τέλος, οι ερευνητές επεσήμαναν ότι και οι δύο ομάδες, είτε συνδέονται μεταξύ τους είτε όχι, έχουν διεξάγει δραστηριότητα ίδιας φύσεως – επιθέσεις μεγάλης κλίμακας που επηρεάζουν ένα ευρύ φάσμα στόχων.
Πηγή πληροφοριών: zdnet.com
