后期开发工具：伪造Zoom 应用程序

攻击者在缅甸的一些受感染系统上部署了另一个恶意工具。其目的是扫描受感染系统中带有预定义扩展名的文件，并将它们泄露到 C2 服务器。有趣的是，这个攻击者模仿了流行的 Zoom 视频电话软件。使其看起来无害的一种措施是提供与二进制文件一起提供的有效数字签名以及由位于上海的北京大学方正集团子公司方正科技所有的证书。

伪造的Zoom应用程序的有效证书

为了方便数据的泄露，攻击者解析了一个名为“zVideoUpdate.ini”的配置文件。虽然尚不清楚攻击者如何将恶意软件写入磁盘，但将 .ini 文件放在一起并放置在同一目录中以使其工作至关重要。构成该文件的配置参数如下：

配置文件中的每个字段（Version、ArgName 和 zCrashReport 除外）都是用Base64编码的，虽然开发者结合了允许使用 AES 算法解密上面指定的某些字段的逻辑和参数，但它仍未使用。

窃取程序使用这些参数来扫描三个指定的目录（以及固定和可移动驱动器的根路径）并搜索具有 zKBCrypto 参数中给出的扩展名的文件。然后，匹配的文件将被复制到恶意软件创建的暂存目录中，路径结构如下：“< zWebService >\%Y-%m-%d %H-%M-%S< zCrashReport >”。目录名称中的字符串格式表示恶意软件执行的时间和日期。

此外，恶意软件还会收集被盗文件的元数据。可以找到一条数据作为与写入名为“VideoCoingLog.txt”的文件的泄露文件相对应的原始路径列表。该文件位于上述暂存目录中。同样，第二个文件用于保存与泄露文件对应的哈希列表，并放置在 zzhost 参数中指定的路径中。

收集目标文件及其元数据后，恶意软件会执行一个外部实用程序，以便将暂存目录存档到一个 .rar 文件中，该文件将放置在 zWebService 参数中指定的路径中。该恶意软件假定在 XmppDll 参数下指定的路径中存在该实用程序，这表明攻击者事先了解受感染系统及其预安装的应用程序。

最后，恶意软件会在 zWebService 目录中寻找所有应传输到 C2 的扩展名为 .rar 的文件。用于发送存档的方法使用静态链接的 CURL 库，该库在向服务器执行事务时设置下面指定的参数， C2 的地址取自 zAutoUpdate 参数。

用于将泄露文件的存档发布到 C&C 的 CURL 逻辑

后期利用工具：Chrome Cookies Stealer

攻击者在一些受感染的系统上部署了另一个工具，从 Chrome 浏览器中窃取 cookie。此工具需要本地用户名作为参数，因为需要访问包含要被盗数据的两个文件：

攻击者首先提取存储在“本地状态”文件中的 encrypted_key 值。此密钥采用 base64 编码，用于解码存储在“Cookies”文件中的 cookie。攻击者使用 CryptUnprotectData API 函数解密 cookie 并查找八个特定的 cookie 值：SID、OSID、HSID、SSID、LSID、APISID、SAPISID 和 ACCOUNT_CHOOSER：

攻击者首先提取存储在“本地状态”文件中的 encrypted_key 值。此密钥采用 base64 编码，用于解码存储在“Cookies”文件中的 cookie。攻击者使用 CryptUnprotectData API 函数解密 cookie 并查找八个特定的 cookie 值：SID、OSID、HSID、SSID、LSID、APISID、SAPISID 和 ACCOUNT_CHOOSER：

解释 cookie 用途的 Google 政策

在研究人员的测试中，他们设置了一个 Gmail 帐户，并能够使用窃取的 cookie 复制研究人员的 Gmail 会话。因此，研究人员可以得出结论，这个后期利用工具专门用于劫持和冒充目标的 Gmail 会话。

命令与控制

对于 C2 通信，一些 LuminousMoth 样本直接联系 IP 地址，而其他样本则与域“updatecatalogs.com”进行通信。

103.15.28[.]195

202.59.10[.]253

这些 C2 服务器的基础设施关系有助于揭示与这次攻击相关的其他域，这些域冒充缅甸的知名新闻媒体，例如 MMTimes、7Day News 和 The Irrawaddy。另一个域名“mopfi-ferd[.]com”也冒充缅甸计划、财政和工业部（MOPFI）的对外经济关系司（FERD）。

mmtimes[.]net

mmtimes[.]org

7daydai1y[.]com

irrawddy[.]com

mopfi-ferd[.]com

“Mopfi-ferd[.]com”解析为与伪装成 Zoom API 的域相关联的 IP 地址。由于研究人员已经看到攻击者部署了一个虚假的 Zoom 应用程序，这个类似的域可能被用来隐藏恶意的 Zoom 流量，尽管研究人员没有证据证明这一点。

潜在的与Zoom相似的域名

攻击目标

研究人员能够识别出大量被LuminousMoth感染的目标，这些目标几乎都来自菲律宾和缅甸。研究人员在缅甸遇到了大约 100 名受害者，而在菲律宾，这个数字要高得多，有将近 1400 名受害者。然而，实际目标似乎只是其中的一个子集，其中包括知名组织，即位于这些国家和国外的政府对象。

高感染率很可能是由于 LuminousMoth 攻击的性质及其传播机制造成的，因为恶意软件通过将自身复制到连接到系统的可移动驱动器进行传播。尽管如此，这两个国家的这种活动程度之间的显着差异可能暗示了一种仅在菲律宾使用的额外的未知感染媒介。然而，这可能只是因为攻击者更有兴趣袭击来自该地区的目标。

与 HoneyMyte 的连接

在研究人员的分析过程中，他们注意到 LuminousMoth 与 HoneyMyte 威胁组有多个相似之处。研究人员的私人报告中涵盖了这两个群体，研究人员的私人 APT 报告服务的客户可以获得有关他们活动的更多详细信息和分析。LuminousMoth 和 HoneyMyte 具有类似的目标和 TTP，例如使用 DLL 侧加载和 Cobalt Strike 加载器，并且在之前的 HoneyMyte 活动中也发现了与 LuminousMoth 的 Chrome cookie 窃取程序类似的组件。最后，研究人员发现 LuminousMoth 活动中使用的 C2 服务器与一个归因于 HoneyMyte 的旧服务器之间的基础设施重叠。

LuminousMoth 的一些恶意工件与“updatecatalogs[.]com”通信，后者解析为“webmail.mmtimes[.]net”后面的相同 IP 地址。该域在可追溯到 2020 年初的一次活动中被观察到，甚至在后来感染 LuminousMoth 的一些系统中也被发现。在此活动中，合法的二进制文件（“FmtOptions.exe”）会侧载名为“FmtOptions.dll”的恶意 DLL，然后解码并执行文件“work.dat”的内容。此感染流程还涉及一个名为“yerodns.dll”的服务，该服务实现与“FmtOptions.dll”相同的功能。

域“webmail.mmtimes[.]net”先前解析为IP“45.204.9[.]70”，该地址与 2020 年 HoneyMyte 活动中使用的另一个 MMTimes 相似域相关联：“mmtimes[.]org”。在该示例中，合法的可执行文件“mcf.exe”会加载“mcutil.dll”。 “mcutil.dll”的目的是解码和执行“mfc.ep”，这是一个与“mmtimes[.]org”通信的PlugX后门。研究人员的一份私人报告也讨论了该活动的部分内容，该报告讨论了 HoneyMyte 使用水坑感染其受害者的情况。

HoneyMyte 和 LuminousMoth C2s 之间的连接

本文翻译自：https://securelist.com/apt-luminousmoth/103332/如若转载，请注明原文地址