{"id":2926,"date":"2021-07-19T14:56:37","date_gmt":"2021-07-19T12:56:37","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2926"},"modified":"2021-07-19T14:56:37","modified_gmt":"2021-07-19T12:56:37","slug":"apt-cina-luminousmoth","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/apt-cina-luminousmoth\/","title":{"rendered":"APT Cina: LuminousMoth"},"content":{"rendered":"\n

Di recente sono state identificate campagne malware eseguite da parte di un Threat Actor<\/strong><\/em> associato al governo cinese. Quest’ultimo esegue attacchi massivi seguiti da attivit\u00e0 mirate con il deployment<\/em> di malware sofisticati ed attivit\u00e0 di esfiltrazione di dati.<\/p>\n

La campagna, che risale almeno allo scorso ottobre, ha come target il Myanmar e le Filippine.<\/span><\/p>\n\n\n\n

Gli analisti che hanno identificato le attivit\u00e0<\/a>, hanno chiamato il Threat Actor<\/em> “LuminousMoth<\/strong>“.<\/p>\n

LuminousMoth utilizza un set unico di strumenti e metodi di propagazione, fra cui la replica del malware su tutti i dispositivi USB connessi, ma la loro infrastruttura offensiva condivide parti con un altro famigerato gruppo di hacker cinese chiamato Mustang Panda<\/strong>, alias HoneyMyte<\/strong>, TA416 <\/strong>o RedDelta<\/strong>.<\/p>\n\n\n\n

TTP Mustang Panda<\/h2>\n\n\n\n

Comportamento e catena di compromissione tipica di Mustang Panda: <\/p>\n\n\n\n

    \n
  1. Collegamento ad una cartella di Google Drive<\/strong>, offuscato utilizzando il servizio “link shortner<\/em>” dei collegamenti goo.gl<\/em>.
    Quando viene contattato, il collegamento di Google Drive recupera un file zip, che contiene un file .lnk<\/em> camuffato da file .pdf (doppia estensione).
    Questo file<\/em> reindirizza l’utente a un file Windows Scripting Component<\/strong> (.wsc<\/em>), ospitato su una pagina di microblogging controllata dall’avversario.
    MUSTANG PANDA ha precedentemente utilizzato il sito di microblogging per ospitare script PowerShell<\/strong> dannosi e documenti Microsoft Office<\/strong> in attacchi mirati alle ONG<\/strong> focalizzate sulla Mongolia.<\/li>\n
  2. Il file .lnk<\/em> utilizza un componente VBScript<\/strong> per recuperare un file PDF (esca) e uno script PowerShell<\/strong> dalla pagina Web controllata dall’attaccante.<\/li>\n
  3. Lo script PowerShell<\/strong> crea un payload stager Cobalt Strike <\/strong>e un beacon codificato XOR.<\/li>\n<\/ol>\n\n\n\n

    Altre similitudini<\/h4>\n\n\n\n

    Fra i gruppi criminali risultano evidenti somiglianze anche nelle tattiche, nelle tecniche e nelle procedure (TTP) utilizzate oltre l’utilizzo di Beacon di Cobalt Strike. Il mese scorso Avast ha attribuito a Mustang Panda un attacco Supply Chain<\/strong> <\/em>contro il sito web dell’ufficio del presidente del Myanmar<\/strong>, dimostrando interesse specifico nelle stesse regioni target di LuminousMoth<\/strong>. I due APT condividono anche l’utilizzo del sideloading<\/strong> <\/em>della DLL<\/em>, nonch\u00e9 l’utilizzo di forme di dump<\/em> per i cookie<\/em> di autenticazione relativi a Chrome.<\/p>\n\n\n\n

    I target, in entrambi i casi, sono una selezione di enti governativi<\/strong> di alto profilo all’interno dei due paesi presi di mira: Ministero dei trasporti<\/strong> e delle comunicazioni del Myanmar<\/strong> e l’Unit\u00e0 di coordinamento dell’assistenza allo sviluppo<\/strong> del dipartimento per le relazioni economiche estere del paese. <\/p>\n\n\n

    Struttura dell’attacco<\/h2>\n\n\n

    Le compromissioni hanno inizio con l’invio di e-mail di spear-phishing <\/strong>ai target. L’e-mail contiene un link per il download di un archivio rar <\/strong>tramite Dropbox <\/strong>relativo al Covid-19. Al suo interno una coppia di DLL <\/strong>dannose, mascherate da file .DOCX<\/em>. Dopo l’infezione iniziale, le DLL vengono caricate da due eseguibili per diffondersi su dispositivi rimovibili e avviare beacon Cobalt Strike.<\/p>\n\n\n\n

    \"\"<\/figure><\/div>\n\n\n\n

    In alcuni casi negli attacchi del Myanmar, l’infezione iniziale \u00e8 stata seguita dall’implementazione di una versione firmata e falsa della popolare app Zoom<\/strong>. L’installazione era in realt\u00e0 un malware che consentiva agli aggressori di esfiltrare i file dai sistemi compromessi. Il certificato valido \u00e8 di propriet\u00e0 di Founder Technology<\/strong>, una sussidiaria del Founder Group<\/strong> dell’Universit\u00e0 di Pechino<\/strong>, con sede a Shanghai.<\/p>\n\n\n\n

    \"\"<\/figure><\/div>\n\n\n\n

    Considerazioni<\/h2>\n\n\n\n

    Come si pu\u00f2 notare ci sono delle differenze tra le catene di attacco di LuminousMoth<\/strong> e MustangPanda<\/strong>. Tuttavia \u00e8 molto probabile che questo nuovo operator<\/em> <\/strong>sia comunque lo stesso Mustang Panda<\/strong> che implementa nuove tecniche, cercando di nascondere le sue tracce riorganizzando e utilizzando nuove tipologie di malware.<\/p>\n","protected":false},"excerpt":{"rendered":"

    TTP Mustang Panda Comportamento e catena di compromissione tipica di Mustang Panda: Altre similitudini Struttura dell’attacco Considerazioni<\/p>\n","protected":false},"author":1,"featured_media":2615,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[207,238,239,350],"class_list":["post-2926","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-luminousmoth","tag-mustang","tag-mustangpanda","tag-threat"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2926","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2926"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2926\/revisions"}],"predecessor-version":[{"id":4553,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2926\/revisions\/4553"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2926"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2926"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2926"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}