APT 攻击的目标通常都是精挑细选的，然后以几乎外科手术般的精度攻击这些目标，并根据受害者的身份或环境量身定制感染媒介、恶意植入和有效载荷。研究人员并不经常观察到由符合此配置文件的攻击者进行的大规模攻击，通常是因为此类攻击是嘈杂的，从而使底层操作面临被安全产品或研究人员攻破的风险。

研究人员最近发现了表现出后一种特征的不寻常的 APT 活动，它被大量检测到，尽管很可能是针对几个感兴趣的目标。这种大规模且高度活跃的活动在东南亚被观察到，至少可以追溯到 2020 年 10 月，最近的攻击发生在撰写本文时。大多数早期攻击事件发生在缅甸，但现在看来袭击者在菲律宾更为活跃，那里的已知目标数量是菲律宾的 10 倍以上。

进一步的分析显示，研究人员称为 LuminousMoth 的潜在攻击者显示出与 HoneyMyte 组织（也称为 Mustang Panda）的密切关系。这在网络基础设施连接以及使用类似的 TTP 将 Cobalt Strike Beacon 部署为有效载荷时都很明显。事实上，研究人员在 ESET 和 Avast 的同事最近评估说 HoneyMyte 在同一地区很活跃。两次活动在缅甸的时间接近和共同发生可能表明，HoneyMyte 的各种 TTP 可能已被误认为成 LuminousMoth 的活动。

值得注意的是，研究人员观察到罪魁祸首通过使用 USB 驱动器传播到其他主机的能力。在某些情况下，随后会部署流行应用程序 Zoom 的签名但伪造版本，这实际上是恶意软件，使攻击者能够从受感染的系统中窃取文件。攻击的绝对数量引发了一个问题，即这是由通过可移动设备的快速复制还是由未知的感染媒介（例如水坑或供应链攻击）引起的。

在本文中，研究人员的目标是将 LuminousMoth 描述为一个单独的对象，概述它所利用的感染链和独特的工具集、其活动的规模和目标以及它通过通用 TTP 和共享资源与 HoneyMyte 的联系。

感染源头是什么？

研究人员确定了 LuminousMoth 使用的两个感染向量：第一个为攻击者提供了对系统的初始访问权限。它包括向受害者发送包含 Dropbox 下载链接的鱼叉式网络钓鱼电子邮件。通过将“file_subpath”参数设置为指向带有 .DOCX 扩展名的文件名，该链接指向一个伪装成 Word 文档的压缩文档。

该文档包含两个恶意 DLL 库以及两个副加载 DLL 文件的合法可执行文件。研究人员找到了多个这样的档案，其中包含缅甸政府对象的文件名，例如“COVID-19 Case 12-11-2020(MOTC).rar”或“DACU Projects.r01”，MOTC 是缅甸的交通运输部， DACU 是指缅甸对外经济关系部 (FERD) 的发展援助协调组。

感染链

在第一个感染媒介成功完成后，第二个感染媒介开始发挥作用，恶意软件试图通过感染可移动 USB 驱动器进行传播。这是通过使用两个组件实现的：第一个是一个名为“version.dll”的恶意库，它被“igfxem.exe”（一个最初名为“sllauncher.exe”的 Microsoft Silverlight 可执行文件）侧载。第二个是“wwlib.dll”，这是另一个由“winword.exe”合法二进制文件侧载的恶意库。“version.dll”的目的是传播到可移动设备，而“wwlib.dll”的目的是下载Cobalt Strike信标。

第一个恶意库“version.dll”具有三个执行分支，根据提供的参数进行选择，分别是：“assist”、“system”或无参数。如果提供的参数是“assist”，则恶意软件会创建一个名为“nfvlqfnlqwnlf”的事件以避免多次执行并运行“winword.exe”以侧载下一阶段（“wwlib.dll”）。之后，它通过添加“Opera Browser Assistant”条目作为运行键来修改注册表，从而在系统启动时使用“assist”参数实现持久化和执行恶意软件。

在系统启动时运行恶意软件的注册表值

然后，恶意软件会检查是否有任何可移动驱动器连接到受感染的系统。如果找到，它会枚举驱动器上存储的文件并将列表保存到名为“udisk.log”的文件中。最后，恶意软件再次使用“system”参数执行。

如果提供的参数是“system”，则会创建一个名为“qjlfqwle21ljl”的不同事件。此执行分支的目的是将恶意软件部署在所有连接的可移动设备上，例如 U 盘或外部驱动器。如果找到驱动器，恶意软件会在驱动器上创建带有非 ascii 字符的隐藏目录，并将所有受害者的文件移动到那里，此外还有两个恶意库和合法的可执行文件。然后恶意软件将文件“igfxem.exe”重命名为“USB Driver.exe”，并将其与“version.dll”一起放在驱动器的根目录下。因此，受害者无法再查看自己的驱动器文件，只剩下“USB Driver.exe”，这意味着他们可能会执行恶意软件以重新获得对隐藏文件的访问权限。

复制有效载荷并在可移动驱动器上创建一个隐藏目录

如果没有提供参数，恶意软件会执行第三个执行分支。此分支仅在通过双击“USB Driver.exe”而受到破坏的可移动驱动器的上下文中启动。恶意软件首先将隐藏驱动器存储库中存储的四个 LuminousMoth 样本复制到“C:UsersPublicDocumentsShared Virtual Machines”。其次，恶意软件使用“assist”参数执行“igfxem.exe”。最后，执行“explorer.exe”以显示被入侵之前位于驱动器上的隐藏文件，并且用户可以查看它们。

第二个库“wwlib.dll”是一个加载器，它被“winword.exe”侧载并比“version.dll”早两个月出现，这表明早期的攻击并不依赖于通过可移动驱动器复制，而是可能使用了其他方法，比如我们观察到的鱼枪式钓鱼邮件。

“Wwlib.dll”通过向位于“103.15.28[.]195”的 C2 地址发送 GET 请求来获取有效载荷。有效载荷是一个 Cobalt Strike 信标，它使用 Gmail 可塑性配置文件与良性流量混合。

从 103.15.28[.]195 下载 Cobalt Strike 信标

原有的传播机制

研究人员发现了一个旧版本的 LuminousMoth 感染链，它在引入“version.dll”之前曾被短暂使用过。不同于通常的“version.dll”和“wwlib.dll”的组合，一个名为“wwlib.dll”的不同库实际上是这个变体中的第一个加载器，负责传播到可移动驱动器，而第二个“ DkAr.dll”库负责从 C2 服务器下载 Cobalt Strike 信标。这个变体的“wwlib.dll”提供了两个执行分支：一个由参数“Assistant”触发，第二个没有给定参数。当这个库被“winword.exe”侧载时，它会创建一个名为“fjsakljflwqlqewq”的事件，为持久性添加一个注册表值，并运行“PrvDisk.exe”，然后侧载“DkAr.dll”。

“wwlib.dll”采取的最后一步是将自身复制到任何可移动 USB 设备。为此，恶意软件会检查连接的设备上是否存储了任何带有 .DOC 或 .DOCX 扩展名的文件。如果找到这样的文档，恶意软件会将其替换为“winword.exe”二进制文件，保留文档的文件名但在末尾附加“.exe”。然后将原始文档移动到隐藏目录。将“wwlib.dll”库复制到包含伪造文件的同一目录中，并将四个样本（两个合法的PE文件，两个DLL库）复制到“[USB_Drive letter]:System Volume Informationen-AUQantas ”。

如果恶意软件在没有“Assistant”参数的情况下被执行，这意味着执行是通过双击可执行文件从受感染的 USB 驱动器启动的。在这种情况下，恶意软件首先执行“explorer.exe”以显示包含受害者原始文档的隐藏目录，然后将四个 LuminousMoth 样本复制到“C:UsersPublicDocumentsShared Virtual Machines”。最后，它使用“Assistant”参数执行“winword.exe”以感染新的主机，USB 驱动器连接到该主机。

由于该变种依赖于将 Word 文档替换为可执行文件，因此攻击者可能会选择“winword.exe”二进制文件来侧面加载恶意 DLL，因为它的图标较少，从而减少了对原始文档被篡改的怀疑。然而，这意味着感染仅限于存储有 Word 文档的 USB 驱动器，并且可能解释了快速转向一种更普遍的方法，即不管驱动器的内容如何都感染驱动器的原因。

参考及来源：https://securelist.com/apt-luminousmoth/103332/