Experții Kaspersky au descoperit o campanie rară, de amploare, de amenințări persistente avansate (APT) împotriva utilizatorilor din Asia de Sud-Est, în special din Myanmar și Filipine. Kaspersky a identificat aproximativ 100 de victime în Myanmar și 1.400 în Filipine, dintre care unele erau entități guvernamentale. Infectarea inițială are loc prin e-mailuri de tip phishing care conțin un document Word rău intenționat; odată descărcat pe un sistem, malware-ul se poate răspândi la alte gazde prin intermediul unităților USB.
Campaniile de acest fel sunt, prin natura lor, foarte bine țintite. Adesea, nu sunt vizați mai mult de câteva zeci de utilizatori, cu o precizie exactă. Cu toate acestea, Kaspersky a descoperit recent o campanie APT răspândită în Asia de Sud-Est.
Acest grup de activități – denumit LuminousMoth – desfășoară atacuri cibernetice de spionaj împotriva entităților guvernamentale cel puțin din luna octombrie 2020. În timp ce inițial își concentrau atenția asupra Myanmar, atacatorii și-au direcționat, de atunci, atacurile și asupra Arhipelagului Filipine. Atacatorii urmăresc să atingă, de obicei, un prim punct de acces în sistem printr-un e-mail de tip spear-phishing cu un link de descărcare Dropbox. După ce ați făcut click, acest link descarcă o arhivă RAR deghizată ca un document Word care conține sarcina utilă rău intenționată.
Odată descărcat pe un sistem, malware-ul încearcă să infecteze alte gazde prin răspândirea prin dispozitive USB. Dacă se găsește o unitate, malware-ul creează directoare ascunse, unde apoi mută toate fișierele victimei, împreună cu executabilele rău intenționate.
Programul malware are, de asemenea, două instrumente post-exploatare care pot fi la rândul lor utilizate pentru o mișcare laterală. Una este o versiune falsă de Zoom, iar alta fură cookie-uri din browser-ul Chrome. Odată ajuns pe dispozitiv, LuminousMoth continuă să exfiltreze date către serverul de comandă și control (C2). Pentru țintele din Myanmar, aceste servere C2 erau adesea domenii care mimau că ar aparține mass media.
Experții Kaspersky atribuie LuminousMoth, cu un grad de certitudine medie spre mare, grupului de amenințări HoneyMyte, un cunoscut actor, lansat de mult timp, vorbitor de limbă chineză. HoneyMyte este interesat în primul rând de colectarea de informații geopolitice și economice în Asia și Africa.
„Acest nou grup de activități rău intenționate ar putea indica, încă o data, o tendință la care am fost martori în cursul acestui an: atacatorii care vorbesc limba chineză re-instrumentează și produc implanturi malware noi și necunoscute”, spune Mark Lechtik, Senior Security Researcher with the Global Research and Analysis Team (GReAT).
„Scara largă a atacului este destul de rară. De asemenea, este interesant faptul că am văzut mult mai multe atacuri în Filipine decât în Myanmar. Acest lucru s-ar putea datora utilizării unităților USB ca mecanism de răspândire sau ar putea exista încă un vector de infecție nedetectat încă, specific doar pentru Filipine”, adaugă Aseel Kayal, Security Researcher with GReAT.
„În ultimul an, observăm o activitate intensificată a atacatorilor vorbitori de limba chineză, iar LuminousMoth cel mai probabil nu va fi ultimul grup de acest fel. În plus, există șanse mari ca grupul să înceapă să-și perfecționeze și mai mult setul de instrumente. Vom fi atenți la orice evoluție viitoare”, adaugă Paul Rascagneres, Senior Security Researcher with GReAT.
Mai multe detalii despre LuminousMoth găsiți pe Securelist.
Pentru a vă proteja de campaniile APT, cum ar fi LuminousMoth, experții Kaspersky recomandă:
• Oferiți personalului dumneavoastră sesiuni de formare de bază în domeniul securității cibernetice, deoarece multe atacuri țintite încep cu phishing-ul sau alte tehnici de inginerie socială
• Efectuați un audit de securitate cibernetică a rețelelor dumneavoastră și remediați eventualele puncte slabe descoperite în perimetru sau în interiorul rețelei.
• Instalați soluții anti-APT și EDR, permițând descoperirea și detectarea amenințărilor, investigarea și remedierea în timp util a capacităților incidentelor. Oferiți echipei SOC acces la cele mai recente informații privind amenințările și perfecționați capacitățile anagajților în mod regulat cu pregătire profesională. Toate cele de mai sus sunt disponibile în cadrul Kaspersky Expert Security.
• Împreună cu protecția adecvată la nivel endpoint, serviciile dedicate pot ajuta împotriva atacurilor de calibru. Serviciul Kaspersky Managed Detection and Response poate ajuta la identificarea și oprirea atacurilor în primele etape, înainte ca atacatorii să își atingă obiectivele