Theo một nghiên cứu mới, một chiến dịch truy quét và “tích cực cao” ban đầu nhằm vào Myanmar đã mở rộng trọng tâm để tấn công một số mục tiêu ở Philippines, theo một nghiên cứu mới.
Công ty an ninh mạng Kaspersky của Nga, công ty lần đầu tiên phát hiện ra các vụ lây nhiễm vào tháng 10 năm 2020, cho rằng chúng là do một tác nhân đe dọa mà nó theo dõi là “LuminousMoth“mà nó đã kết nối với độ tin cậy từ trung bình đến cao với một nhóm hack do nhà nước Trung Quốc tài trợ có tên là HoneyMyte hoặc Gấu trúc Mustang, với nạn nhân, chiến thuật và quy trình quan sát được của nó.
Khoảng 100 nạn nhân bị ảnh hưởng đã được xác định ở Myanmar, trong khi số nạn nhân tăng lên gần 1.400 ở Philippines, mặc dù các nhà nghiên cứu lưu ý rằng các mục tiêu thực tế chỉ là một phần nhỏ so với con số ban đầu, bao gồm các tổ chức chính phủ ở cả hai quốc gia và ở nước ngoài.
Các nhà nghiên cứu Mark Lechtik, Paul Rascagneres và Aseel Kayal cho biết mục tiêu của các cuộc tấn công là ảnh hưởng đến một phạm vi rộng của các mục tiêu với mục đích tấn công một số mục tiêu được quan tâm chiến lược. Nói cách khác, các cuộc xâm nhập đồng thời có phạm vi rộng và tập trung hẹp, tạo điều kiện cho mối đe dọa có thể bòn rút thông tin tình báo từ các mục tiêu cao cấp.
Vectơ lây nhiễm được sử dụng trong chiến dịch liên quan đến việc gửi một email lừa đảo trực tuyến đến nạn nhân có chứa liên kết tải xuống Dropbox, khi được nhấp vào, sẽ dẫn đến một kho lưu trữ RAR được thiết kế để bắt chước tài liệu Word. Về phần mình, tệp lưu trữ đi kèm với hai thư viện DLL độc hại (“version.dll” và “wwlib.dll”) và hai tệp thực thi tương ứng chạy phần mềm độc hại.
Sau khi giành được chỗ đứng thành công, một chuỗi lây nhiễm thay thế do Kaspersky quan sát đã sử dụng ổ USB di động để truyền phần mềm độc hại sang các máy chủ khác với sự trợ giúp của “version.dll”. Mặt khác, mục đích của “wwlib.dll” là tải xuống báo hiệu Cobalt Strike trên hệ thống Windows bị xâm nhập từ miền do kẻ tấn công điều khiển từ xa.
Trong một số trường hợp, các cuộc tấn công kết hợp một bước bổ sung, trong đó kẻ đe dọa triển khai một công cụ sau khai thác dưới dạng một phiên bản ứng dụng hội nghị truyền hình Zoom đã ký nhưng giả mạo, sử dụng nó để chuyển các tệp nhạy cảm sang lệnh kiểm soát người phục vụ. Chứng chỉ kỹ thuật số hợp lệ đã được sử dụng để ký phần mềm trong nỗ lực biến công cụ này trở nên lành tính. Cũng được phát hiện trên một số máy bị nhiễm là một tiện ích sau khai thác thứ hai đánh cắp cookie từ trình duyệt Google Chrome.
Kaspersky lưu ý rằng các hoạt động không gian mạng độc hại của LuminousMoth và mối liên hệ có thể có với Mustang Panda APT cũng có thể là một nỗ lực nhằm thay đổi chiến thuật và cập nhật các biện pháp phòng thủ của họ bằng cách tái tạo công cụ và phát triển các bộ phận cấy ghép phần mềm độc hại mới và không xác định, do đó có khả năng che lấp bất kỳ mối liên hệ nào với các hoạt động trong quá khứ của họ và làm mờ phân bổ của họ đối với các nhóm đã biết.
“Các tác nhân APT được biết đến với tính chất thường xuyên được nhắm mục tiêu của các cuộc tấn công. Thông thường, chúng sẽ chọn một loạt các mục tiêu lần lượt được xử lý với độ chính xác gần như phẫu thuật, với các vectơ lây nhiễm, cấy ghép độc hại và trọng tải được điều chỉnh cho phù hợp với danh tính hoặc môi trường của nạn nhân “, Các nhà nghiên cứu của Kaspersky cho biết.
“Chúng tôi không thường xuyên quan sát thấy một cuộc tấn công quy mô lớn được thực hiện bởi các tác nhân phù hợp với hồ sơ này, thường là do các cuộc tấn công như vậy ồn ào và do đó khiến hoạt động cơ bản có nguy cơ bị xâm phạm bởi các sản phẩm bảo mật hoặc các nhà nghiên cứu.”
