Di recente sono state identificate campagne malware eseguite da parte di un Threat Actor associato al governo cinese. Quest’ultimo esegue attacchi massivi seguiti da attività mirate con il deployment di malware sofisticati ed attività di esfiltrazione di dati.

La campagna, che risale almeno allo scorso ottobre, ha come target il Myanmar e le Filippine.

Gli analisti che hanno identificato le attività, hanno chiamato il Threat ActorLuminousMoth“.

LuminousMoth utilizza un set unico di strumenti e metodi di propagazione, fra cui la replica del malware su tutti i dispositivi USB connessi, ma la loro infrastruttura offensiva condivide parti con un altro famigerato gruppo di hacker cinese chiamato Mustang Panda, alias HoneyMyte, TA416 o RedDelta.

TTP Mustang Panda

Comportamento e catena di compromissione tipica di Mustang Panda:

  1. Collegamento ad una cartella di Google Drive, offuscato utilizzando il servizio “link shortner” dei collegamenti goo.gl.
    Quando viene contattato, il collegamento di Google Drive recupera un file zip, che contiene un file .lnk camuffato da file .pdf (doppia estensione).
    Questo file reindirizza l’utente a un file Windows Scripting Component (.wsc), ospitato su una pagina di microblogging controllata dall’avversario.
    MUSTANG PANDA ha precedentemente utilizzato il sito di microblogging per ospitare script PowerShell dannosi e documenti Microsoft Office in attacchi mirati alle ONG focalizzate sulla Mongolia.
  2. Il file .lnk utilizza un componente VBScript per recuperare un file PDF (esca) e uno script PowerShell dalla pagina Web controllata dall’attaccante.
  3. Lo script PowerShell crea un payload stager Cobalt Strike e un beacon codificato XOR.

Altre similitudini

Fra i gruppi criminali risultano evidenti somiglianze anche nelle tattiche, nelle tecniche e nelle procedure (TTP) utilizzate oltre l’utilizzo di Beacon di Cobalt Strike. Il mese scorso Avast ha attribuito a Mustang Panda un attacco Supply Chain contro il sito web dell’ufficio del presidente del Myanmar, dimostrando interesse specifico nelle stesse regioni target di LuminousMoth. I due APT condividono anche l’utilizzo del sideloading della DLL, nonché l’utilizzo di forme di dump per i cookie di autenticazione relativi a Chrome.

I target, in entrambi i casi, sono una selezione di enti governativi di alto profilo all’interno dei due paesi presi di mira: Ministero dei trasporti e delle comunicazioni del Myanmar e l’Unità di coordinamento dell’assistenza allo sviluppo del dipartimento per le relazioni economiche estere del paese. 

Struttura dell’attacco

Le compromissioni hanno inizio con l’invio di e-mail di spear-phishing ai target. L’e-mail contiene un link per il download di un archivio rar tramite Dropbox relativo al Covid-19. Al suo interno una coppia di DLL dannose, mascherate da file .DOCX. Dopo l’infezione iniziale, le DLL vengono caricate da due eseguibili per diffondersi su dispositivi rimovibili e avviare beacon Cobalt Strike.

In alcuni casi negli attacchi del Myanmar, l’infezione iniziale è stata seguita dall’implementazione di una versione firmata e falsa della popolare app Zoom. L’installazione era in realtà un malware che consentiva agli aggressori di esfiltrare i file dai sistemi compromessi. Il certificato valido è di proprietà di Founder Technology, una sussidiaria del Founder Group dell’Università di Pechino, con sede a Shanghai.

Considerazioni

Come si può notare ci sono delle differenze tra le catene di attacco di LuminousMoth e MustangPanda. Tuttavia è molto probabile che questo nuovo operator sia comunque lo stesso Mustang Panda che implementa nuove tecniche, cercando di nascondere le sue tracce riorganizzando e utilizzando nuove tipologie di malware.