LuminousMoth: nietypowa zaawansowana kampania cyberprzestępcza w Azji Południowowschodniej

Eksperci z firmy Kaspersky odkryli unikatową, przeprowadzoną na szeroką skalę kampanię cyberprzestępczą wymierzoną w użytkowników w Azji Południowowschodniej, głównie w Birmie oraz na Filipinach. Cyberprzestępcy zidentyfikowali około 100 ofiar w Birmie i 1400 na Filipinach, wśród których znalazły się również podmioty rządowe. Infekcja odbywa się za pośrednictwem spersonalizowanych wiadomości phishingowych zawierających szkodliwy dokument Worda. Pobrany do systemu szkodnik może rozprzestrzeniać się do innych hostów za pośrednictwem nośników USB.


Zaawansowane kampanie APT są z natury wysoce ukierunkowane. Często ograniczają się do atakowania nie więcej niż kilkudziesięciu użytkowników, nierzadko z chirurgiczną precyzją. Jednak niedawno firma Kaspersky odkryła rzadką, szeroko zakrojoną kampanię przeprowadzoną w Azji Południowowschodniej. Ten klaster aktywności - określany jako LuminousMoth - odpowiada za ataki cyberszpiegowskie na podmioty rządowe co najmniej od października 2020 r. O ile początkowo atakujący koncentrowali się na Birmie, później skierowali swoją uwagę na Filipiny. Zazwyczaj cyberprzestępcy uzyskują dostęp do systemu przy pomocy spersonalizowanej wiadomości phihingowej zawierającej link do pliku przechowywanego w serwisie Dropbox. Jego kliknięcie powoduje pobranie archiwum RAR podszywającego się pod dokument Worda, który zawiera szkodliwą funkcję.

Po tym, jak zostanie pobrany do systemu, szkodnik próbuje zainfekować inne maszyny, rozprzestrzeniając się poprzez nośniki USB. Po znalezieniu takiej pamięci szkodnik tworzy w niej ukryte foldery, do których przenosi wszystkie dane wyciągnięte z komputera ofiary wraz ze szkodliwymi plikami wykonywalnymi.

Szkodnik ma również dwa narzędzia, które mogą być wykorzystane w celu penetracji sieci. Jedno składa się z podpisanej, fałszywej wersji aplikacji Zoom, drugie zaś kradnie ciasteczka z przeglądarki Chrome. Po zdobyciu dostępu do urządzenia LuminousMoth przystępuje do wyprowadzenia danych na zewnątrz, na serwer kontrolowany przez cyberprzestępców. W przypadku celów ataków w Birmie takie serwery często podszywały się pod znane serwisy informacyjne.

Eksperci z firmy Kaspersky przypisują szkodnika LuminousMoth, ze średnim do wysokiego stopnia pewności, dobrze znanemu i działającemu od dawna chińskiemu ugrupowaniu HoneyMyte. Cybergang ten jest zainteresowany głównie gromadzeniem informacji geopolitycznych i ekonomicznych w Azji i Afryce.

Nowy klaster aktywności może wskazywać na trend obserwowany na przestrzeni tego roku: chińskojęzyczne ugrupowania cyberprzestępcze modyfikują oraz tworzą nowe implanty szkodliwego oprogramowania - powiedział Mark Lechtik, starszy badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky.

Masowa skala opisywanego ataku stanowi rzadkość. Interesujące jest również to, że zaobserwowaliśmy znacznie więcej ataków na Filipinach niż w Birmie. Być może wynika to z wykorzystywania pamięci USB jako mechanizmu rozprzestrzeniania szkodliwego oprogramowania. Niewykluczone też, że na Filipinach stosowany jest inny, nieznany nam jeszcze wektor infekcji - dodał Aseel Kayal, badacz ds. cyberbezpieczeństwa z zespołu GReAT.

Szczegóły techniczne dotyczące kampanii LuminousMoth są dostępne na stronie https://r.kaspersky.pl/gH55Q.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć się przed zaawansowanymi kampaniami cyberprzestępczymi, takimi jak LuminousMoth:
  • Zapewnij swojemu personelowi podstawowe szkolenie w zakresie higieny cyberbezpieczeństwa, ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innych metod socjotechniki.
  • Przeprowadź audyt cyberbezpieczeństwa swoich sieci oraz usuń słabe punkty wykryte w sieci lub na jej obrzeżach.
  • Zainstaluj rozwiązania EDR oraz chroniące przed atakami APT, które umożliwiają wykrywanie zagrożeń, badanie ich oraz szybkie łagodzenie incydentów. Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszych informacji dotyczących zagrożeń oraz możliwość regularnego podnoszenia kwalifikacji poprzez szkolenia.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.