Güvenlik uzmanları ilk olarak Güneydoğu Asya’da tespit edilen nadir ve geniş ölçekli bir gelişmiş kalıcı tehdit (APT) kampanyasını ortaya çıkardı.
Gelişmiş kalıcı tehdit kampanyaları, doğaları gereği yüksek oranda hedefli olarak gerçekleştiriliyor. Çoğu zaman cerrahi bir hassasiyetle yapılıyor ve yalnızca birkaç düzine kullanıcı hedef alınıyor. Kaspersky son zamanlarda nadiren kullanılan, ancak yine de film benzeri saldırı vektörüne sahip nadir, yaygın bir tehdit kampanyasını ortaya çıkardı. Tehdit sisteme indirildikten sonra kötü amaçlı yazılım, çıkarılabilir USB sürücüler aracılığıyla yayılarak diğer ana bilgisayarlara bulaşmaya çalışıyor. Bir sürücü bulunursa, kötü amaçlı yazılım sürücüde gizli dizinler oluşturuyor ve kötü amaçlı yürütülebilir dosyalarla birlikte kurbanın tüm dosyalarını taşıyor.
LuminousMoth olarak adlandırılan bu faaliyet, Ekim 2020’den bu yana devlet kurumlarına karşı siber casusluk saldırıları düzenliyor. Saldırganlar başlangıçta Myanmar’a odaklanırken, zamanla odağını Filipinler’e kaydırdı. Sisteme giriş noktası genellikle Dropbox indirme bağlantısına sahip hedef odaklı bir kimlik avı e-postası oluyor. Bağlantı tıklandığında, kötü amaçlı yükü içeren Word belgesi kılığında bir RAR arşivi indiriliyor.
Kaspersky uzmanları, LuminousMoth’u orta ila yüksek güven aralığında tanınmış, uzun süredir Çince konuşan bir tehdit aktörü olan HoneyMyte tehdit grubuna bağlıyor. HoneyMyte, özellikle Asya ve Afrika’da jeopolitik ve ekonomik istihbarat toplamakla ilgileniyor.
Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor: “Bu yeni faaliyet kümesi, bir kez daha yıl boyunca tanık olduğumuz bir eğilime işaret ediyor. Çince konuşan tehdit aktörleri, yeni ve bilinmeyen kötü amaçlı yazılım implantlarını yeniden şekillendiriyor ve üretiyor.”
