Kaspersky uzmanları ilk olarak Güneydoğu Asya’da tespit edilen nadir ve geniş ölçekli bir gelişmiş kalıcı tehdit (APT) kampanyasını ortaya çıkardı. Kaspersky, bazıları devlet kurumlarından olan yaklaşık 1.500 kurban tespit etti. İlk bulaşma, kötü amaçlı bir Word belgesi içeren hedef odaklı kimlik avı e-postaları yoluyla gerçekleşiyor. Kötü amaçlı yazılım sisteme indirildikten sonra çıkarılabilir USB sürücüler aracılığıyla diğer ana bilgisayarlara yayılabiliyor.
Gelişmiş kalıcı tehdit kampanyaları, doğaları gereği yüksek oranda hedefli olarak gerçekleştiriliyor. Çoğu zaman cerrahi bir hassasiyetle yapılıyor ve yalnızca birkaç düzine kullanıcı hedef alınıyor. Kaspersky son zamanlarda nadiren kullanılan, ancak yine de film benzeri saldırı vektörüne sahip nadir, yaygın bir tehdit kampanyasını ortaya çıkardı. Tehdit sisteme indirildikten sonra kötü amaçlı yazılım, çıkarılabilir USB sürücüler aracılığıyla yayılarak diğer ana bilgisayarlara bulaşmaya çalışıyor. Bir sürücü bulunursa, kötü amaçlı yazılım sürücüde gizli dizinler oluşturuyor ve kötü amaçlı yürütülebilir dosyalarla birlikte kurbanın tüm dosyalarını taşıyor.
LuminousMoth olarak adlandırılan bu faaliyet, Ekim 2020’den bu yana devlet kurumlarına karşı siber casusluk saldırıları düzenliyor. Saldırganlar başlangıçta Myanmar’a odaklanırken, zamanla odağını Filipinler’e kaydırdı. Sisteme giriş noktası genellikle Dropbox indirme bağlantısına sahip hedef odaklı bir kimlik avı e-postası oluyor. Bağlantı tıklandığında, kötü amaçlı yükü içeren Word belgesi kılığında bir RAR arşivi indiriliyor.
Kaspersky uzmanları, LuminousMoth’u orta ila yüksek güven aralığında tanınmış, uzun süredir Çince konuşan bir tehdit aktörü olan HoneyMyte tehdit grubuna bağlıyor. HoneyMyte, özellikle Asya ve Afrika’da jeopolitik ve ekonomik istihbarat toplamakla ilgileniyor.
Küresel Araştırma ve Analiz Ekibi (GReAT) Kıdemli Güvenlik Araştırmacısı Mark Lechtik, şunları söylüyor:
“Bu yeni faaliyet kümesi, bir kez daha yıl boyunca tanık olduğumuz bir eğilime işaret ediyor. Çince konuşan tehdit aktörleri, yeni ve bilinmeyen kötü amaçlı yazılım implantlarını yeniden şekillendiriyor ve üretiyor.”
GReAT Güvenlik Araştırmacısı Aseel Kayal şunları ekliyor:
“Saldırı oldukça nadir görülen devasa bir ölçeğe sahip. Filipinler’de Myanmar’dan daha fazla saldırı görmemiz de ilginç. Bunun nedeni USB sürücülerin yayılma mekanizması olarak kullanılması olabilir veya Filipinler’de kullanıldığının henüz farkında olmadığımız başka bir enfeksiyon vektörü olabilir.”
GReAT Kıdemli Güvenlik Araştırmacısı Paul Rascagneres şöyle diyor,
“Geçtiğimiz yıl Çince konuşan tehdit aktörlerinin artan etkinliğini görüyoruz. Bu büyük olasılıkla LuminousMoth’un son saldırısı olmayacak. Ayrıca, grubun araç setini daha da geliştirmeye başlama olasılığı da yüksek. Gelecekteki gelişmeleri dikkatle izleyeceğiz”
