卡巴斯基专家发现了一起罕见的大规模的针对东南亚地区用户的高级可持续威胁(APT)攻击活动,受影响最严重的国家为缅甸和菲律宾。卡巴斯基发现缅甸有大约100名受害者,菲律宾有1,400名受害者,其中一些受害者是政府实体。初始感染通过包含恶意 Word文档的鱼叉式网络钓鱼电子邮件进行;一旦下载到系统上,恶意软件就可以通过可移动USB存储设备传播到其他主机上。

高级可持续威胁攻击行动本质上就是高度针对性的。通常情况下,被攻击的用户不超过几十个,而且往往像外科手术一样精确。但是最近,卡巴斯基在东南亚发现了一场罕见的并且传播广泛的威胁活动。

这一系列的攻击活动被称为LuminousMoth,这些针对政府实体的网络间谍攻击行动至少从2020年10月就已经开始。虽然最初他们的注意力集中在缅甸,但攻击者后来将他们的注意力转移到了菲律宾。攻击者通常通过带有Dropbox 下载链接的鱼叉式网络钓鱼电子邮件在系统中获得初步立足点。一旦点击链接,将下载一个伪装成Word文档的RAR档案,其中包含恶意的有效载荷。

一旦下载到系统中,这种恶意软件会通过可移动USB存储设备来感染其他主机。如果发现一个驱动器,恶意软件会在该驱动器上创建一个隐藏文件夹,然后将受害者的所有文件和恶意可执行文件一起移动到该文件夹。

该恶意软件还有两个实施漏洞利用工具,可反过来用于横向移动。其中包含签名的假冒版本的 Zoom,另一个则可以从Chrome浏览器中窃取cookie。一旦进入设备,LuminousMoth就会将数据渗透到命令和控制(C2)服务器。对于缅甸的被攻击目标,这些C2服务器经常会伪装成知名的新闻机构的域名。

卡巴斯基专家比较有把握地将LuminousMoth溯源到HoneyMyte威胁组织,这是一个知名的、长期存在的并且说中文的威胁行为者。HoneyMyte主要对收集亚洲和非洲的地缘政治和经济情报感兴趣。

“这一系列的最新攻击活动可能再次指向我们在今年目睹的一个趋势:说中文的威胁行为者正在重新调整和制作新的和未知的恶意软件植入,”卡巴斯基全球研究和分析团队(GReAT)高级安全研究员Mark Lechtik评论说。

“这种大规模的攻击相当罕见。而且有趣的是,我们在菲律宾发现的攻击比在缅甸多得多。这可能是由于使用优盘作为传播机制,或者可能有另一种我们尚未发现到的感染载体在菲律宾被使用,”全球研究和分析团队安全研究员Aseel Kayal补充说。

“过去一年,我们看到说中文的威胁行为者的活动有所增加,这很可能不会是 LuminousMoth 的最后一次行动。此外,该组织很有可能开始进一步完善其工具集。我们将密切关注其未来发展状况,”全球研究和分析团队高级安全研究员Paul Rascagneres评论说。

要了解更多有关LuminousMoth的详情,请访问Securelist.

为了远离LuminousMoth等高级威胁活动的危害,卡巴斯基专家建议:

  • 为您的员工提供基础网络安全卫生知识培训,因为很多针对性攻击都是从网络钓鱼或其他社交工程手段开始的
  • 对您的网络进行网络安全审计,并对在周边或网络内部发现的任何弱点进行补救
  • 安装反APT和EDR解决方案,实现威胁发现和检测,事件调查和及时修复能力。为您的SOC团队提供对最新威胁情报的访问,并定期通过专业培训提高他们的技能。以上这些所有内容均可在卡巴斯基专家安全框架内获得
  • 除了适当的端点保护外,专业服务可帮助抵御高调的攻击。卡巴斯基托管检测和响应服务能够帮助在攻击者实现其目标之前的早期阶段识别和阻止攻击。

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成最新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,全面抵御复杂的和不断演化的数字威胁。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球240,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.

针对东南亚的一千多名用户的罕见的大规模高级威胁攻击活动

卡巴斯基专家发现了一起罕见的大规模的针对东南亚地区用户的高级可持续威胁(APT)攻击活动,受影响最严重的国家为缅甸和菲律宾。
Kaspersky Logo