Los actores de APT son conocidos por la naturaleza frecuentemente dirigida de sus ataques. Por lo general, seleccionarán un conjunto de objetivos que, a su vez, se manejarán con una precisión casi quirúrgica, con vectores de infección, implantes maliciosos y cargas útiles que se adaptan a las identidades o el entorno de las víctimas. No es frecuente que observemos un ataque a gran escala realizado por actores que se ajustan a este perfil, generalmente debido a que dichos ataques son ruidosos y, por lo tanto, ponen la operación subyacente en riesgo de verse comprometida por productos de seguridad o investigadores.
Recientemente nos encontramos con una actividad de APT inusual que exhibe el último rasgo: se detectó en grandes volúmenes, aunque probablemente se dirigió a algunos objetivos de interés. Esta campaña a gran escala y muy activa se observó en el sudeste asiático y se remonta al menos a octubre de 2020, con los ataques más recientes observados en el momento de escribir este artículo. La mayoría de los primeros avistamientos fueron en Myanmar, pero ahora parece que los atacantes son mucho más activos en Filipinas, donde hay más de 10 veces más objetivos conocidos.
Un análisis más detallado reveló que el actor subyacente, al que llamamos LuminousMoth, muestra afinidad con el grupo HoneyMyte, también conocido como Mustang Panda. Esto es evidente tanto en las conexiones de infraestructura de red como en el uso de TTP similares para implementar Cobalt Strike Beacon como carga útil. De hecho, nuestros colegas de ESET y Avast evaluaron recientemente que HoneyMyte estaba activo en la misma región. La proximidad en el tiempo y la ocurrencia común en Myanmar de ambas campañas podrían sugerir que varios TTP de HoneyMyte pueden haber sido prestados para la actividad de LuminousMoth.
Sin embargo, lo más notable es que observamos la capacidad del culpable de propagarse a otros hosts mediante el uso de unidades USB. En algunos casos, esto fue seguido por la implementación de una versión firmada pero falsa de la popular aplicación Zoom, que de hecho era un malware que permitía a los atacantes exfiltrar archivos de los sistemas comprometidos. El gran volumen de los ataques plantea la cuestión de si esto es causado por una replicación rápida a través de dispositivos extraíbles o por un vector de infección desconocido, como un abrevadero o un ataque a la cadena de suministro.
En esta publicación, nuestro objetivo es perfilar LuminousMoth como una entidad separada, describiendo la cadena de infección y el conjunto de herramientas único que aprovecha, la escala y la orientación en sus campañas, así como sus conexiones con HoneyMyte a través de TTP comunes y recursos compartidos.
Identificamos dos vectores de infección utilizados por LuminousMoth: el primero proporciona a los atacantes acceso inicial a un sistema. Consiste en enviar un correo electrónico de spear-phishing a la víctima que contiene un enlace de descarga de Dropbox. El enlace conduce a un archivo RAR que se hace pasar por un documento de Word estableciendo el parámetro “file_subpath” para que apunte a un nombre de archivo con una extensión .DOCX.
12 | hxxps://www.dropbox[.]com/s/esh1ywo9irbexvd/COVID-19%20Case%2012-11-2020.rar?dl=0&file_subpath=%2FCOVID-19+Case+12-11-2020%2FCOVID-19+Case+12-11-2020(2).docx |
El archivo contiene dos bibliotecas DLL maliciosas, así como dos ejecutables legítimos que descargan los archivos DLL. Encontramos varios archivos como este con nombres de archivos de entidades gubernamentales en Myanmar, por ejemplo, “COVID-19 Case 12-11-2020 (MOTC) .rar” o “DACU Projects.r01” (MOTC es el Ministerio de Transporte y Comunicaciones de Myanmar, y DACU se refiere a la Unidad de Coordinación de la Asistencia para el Desarrollo del Departamento de Relaciones Económicas Exteriores (FERD) en Myanmar).
El segundo vector de infección entra en juego después de que el primero haya finalizado con éxito, mediante el cual el malware intenta propagarse infectando unidades USB extraíbles. Esto es posible mediante el uso de dos componentes: el primero es una biblioteca maliciosa llamada “version.dll” que se descarga en “igfxem.exe”, un ejecutable de Microsoft Silverlight originalmente llamado “sllauncher.exe”. El segundo es “wwlib.dll”, otra biblioteca maliciosa descargada por el binario legítimo de “winword.exe”. El propósito de “version.dll” es propagarse a dispositivos extraíbles, mientras que el propósito de “wwlib.dll” es descargar una baliza Cobalt Strike.
La primera biblioteca maliciosa “version.dll” tiene tres ramas de ejecución, elegidas según los argumentos proporcionados, que son: “asistencia”, “sistema” o sin argumento. Si el argumento proporcionado es “asistencia”, el malware crea un evento llamado “nfvlqfnlqwnlf” para evitar ejecuciones múltiples y ejecuta “winword.exe” para descargar la siguiente etapa (“wwlib.dll”). Posteriormente, modifica el registro agregando una entrada “Opera Browser Assistant” como clave de ejecución, logrando así la persistencia y ejecutando el malware con el parámetro “assist” al inicio del sistema.
Luego, el malware verifica si hay unidades extraíbles conectadas al sistema infectado. Si encuentra alguno, enumera los archivos almacenados en la unidad y guarda la lista en un archivo llamado “udisk.log”. Por último, el malware se vuelve a ejecutar con el parámetro “sistema”.
Si el argumento proporcionado es “sistema”, se crea un evento diferente llamado “qjlfqwle21ljl”. El propósito de esta rama de ejecución es implementar el malware en todos los dispositivos extraíbles conectados, como memorias USB o unidades externas. Si se encuentra una unidad, el malware crea directorios ocultos con caracteres no ascii en la unidad y mueve allí todos los archivos de la víctima, además de las dos bibliotecas maliciosas y los ejecutables legítimos. Luego, el malware cambia el nombre del archivo “igfxem.exe” a “USB Driver.exe” y lo coloca en la raíz de la unidad junto con “version.dll”. Como resultado, las víctimas ya no pueden ver sus propios archivos de disco y se quedan solo con “USB Driver.exe”, lo que significa que probablemente ejecutarán el malware para recuperar el acceso a los archivos ocultos.
Si no se proporciona ningún argumento, el malware ejecuta la tercera rama de ejecución. Esta rama solo se inicia en el contexto de una unidad extraíble comprometida haciendo doble clic en “USB Driver.exe”. El malware primero copia las cuatro muestras de LuminousMoth almacenadas desde el repositorio de unidades ocultas a “C: \ Users \ Public \ Documents \ Shared Virtual Machines \”. En segundo lugar, el malware ejecuta “igfxem.exe” con el argumento de “asistencia”. Finalmente, “explorer.exe” se ejecuta para mostrar los archivos ocultos que estaban ubicados en la unidad antes del compromiso, y el usuario puede verlos.
La segunda biblioteca, “wwlib.dll”, es un cargador. Es descargado por “winword.exe” y surgió dos meses antes de “version.dll”, lo que sugiere que las instancias anteriores del ataque no dependían de la replicación a través de unidades extraíbles, sino que probablemente se distribuyeron mediante otros métodos, como los correos electrónicos de spear-phishing. nosotros observamos.
“Wwlib.dll” obtiene una carga útil enviando una solicitud GET a la dirección C2 en “103.15.28 [.] 195”. La carga útil es una baliza de Cobalt Strike que utiliza el perfil maleable de Gmail para mezclarse con el tráfico benigno.