Kaspersky araştırmacılar, Myanmar ve Filipinler hükümeti varlıkları da dahil olmak üzere, Güneydoğu Asya'dan yüzlerce mağdurla devam eden ve büyük ölçekli gelişmiş bir Kalıcı Tehdit (APT) kampanyası ortaya koydu.
Kaspersky tarafından Luminousmoth olarak izlenen APT aktivitesi bu küme, Betimi Çince konuşan tehdit grubuna orta ila yüksek güvenle bağlantılı.
Bulunan bağlantılar, hem gruplar hem de benzeri taktikler, teknikler ve prosedürler (TTPS) gibi Kobalt Strike BeaCon yüklerini kullanırken, hem gruplar hem de benzeri taktikler, teknikler ve prosedürler (TTPS) gibi ağ altyapısı bağlantılarını içerir.
Ayrıca, hem ilgi alanlarını eşleştiren küçük bir alt kümeye vurma hedefi ile önemli sayıda hedeflere karşı geniş çapta saldırıların başladığı bilinenlerdir.
Luminousmoth'un CyberSpionage saldırılarını, en az 2020 yılından bu yana başlayan birkaç Asya hükümeti varlığına karşı analiz ederken, Kaspersky Araştırmacıları Myanmar'da toplam 100 mağdur ve Filipinler'de 1.400'ü keşfetti.
Kaspersky Büyük Güvenlik Araştırması Aseel Kayal, "Saldırının büyük ölçeği, Filipinler'de Myanmar'dan çok daha fazla saldırı görmemiz de ilginçtir" dedi.
"Bu, USB sürücülerinin bir yayılma mekanizması olarak kullanılmasından kaynaklanıyor olabilir ya da henüz Filipinler'de kullanılmanın farkında olmadığımız başka bir enfeksiyon vektörü olabilir."
Tehdit aktörleri, Word belgeleri olarak kamufle edilen RAR arşivi olan ve Hedefleri sistemlerine erişmek için kötü amaçlı yazılımlar yüklenmesini sağlayan, kötü amaçlı olmayan dropbox indirme bağlantılarına sahip mızraklı kimlik avı e-postalarını kullanır.
Bir kurbanın cihazında yürütüldükten sonra, kötü amaçlı yazılım, zaten tehlikeye giren bilgisayarlardan çalınan dosyalarla birlikte çıkarılabilir USB sürücüleriyle diğer sistemlere yol açmaya çalışır.
Luminousmoth'un kötü amaçlı yazılımları ayrıca, operatörlerin kurbanlarının ağlarında daha sonraki hareket için kullanabileceği ve bunlardan biri, sahte bir zoom uygulaması biçiminde ve diğer krom tarayıcı çerezleri çalmak için tasarlanan diğeri için düz görüşte gizlenebileceklerinden biri.
Tehdit aktörleri, enfekte olmuş cihazlardan toplanan verileri, bazı durumlarda, tespiti kaçırmak için haber çıkışlarını taklit eden komuta ve kontrol (C2) sunucularına çıkarır.
Bir sisteme indirildikten sonra, kötü amaçlı yazılım, çıkarılabilir USB sürücüleriyle yayılarak diğer ana bilgisayarları bulaştırmaya çalışır. Bir sürücü bulunursa, kötü amaçlı yazılım, daha sonra, kötü amaçlı yürütülebilir dosyalarla birlikte tüm kurbanın dosyalarını hareket ettirdiği sürücüde gizli dizinler oluşturur.
"Bu yeni aktivite kümesi, bir kez daha bu yılın seyrine şahit olduğumuz bir trendle işaret edebilir: Çince konuşan tehdit aktörleri yeni ve bilinmeyen kötü amaçlı yazılım implantları yeniden takımlandırıyor ve üretiyorlar" dedi. .
Daha fazla teknik detaylar ve Kötü Amaçlı Yazılım Hashes ve C2 Etki Alanları dahil olmak üzere uzlaşma (IOC'ler) göstergelerinin bir listesi, Kaspersky'nin raporunun sonunda bulunabilir.
Çinli siber bizi hedefliyor, AB ORG'lerini yeni kötü amaçlı yazılımlarla hedefliyor
NOxPlayer tedarik zinciri saldırısına bağlı gizli gelelyum siberleri
Not Defteri ++ "Tank Man" Stensorship Fiasco'dan Sonra Bing Drops
Microsoft: Rusça SVR bilgisayar korsanları 24 ülkeden gelen govt ajanslarını hedefliyor
FBI: Apt Hackerlar, Fortinet böceklerini sömürerek ABD yerel govt'ını ihlal etti.
Kaynak: Bleeping Computer