Kampanye Advanced Persistent Threat (APT) Luminous Moth yang langka dan berskala luas ditemukan pakar Kaspersky dan menghantui pengguna di Asia Tenggara.
Kampanye ini teridentifikasi oleh Kaspersky telah memakan korban sekitar 100 pengguna di Myanmar dan 1.400 di Filipina, beberapa di antaranya merupakan entitas pemerintah.
Infeksi awal terjadi melalui email spear-phishing yang berisi dokumen Word berbahaya. Setelah diunduh di satu sistem, malware kemudian akan menyebar ke host lain melalui drive USB yang dapat dilepas-pasang.
Kampanye yang dijuluki Luminous Moth ini telah melakukan serangan spionase siber terhadap entitas pemerintah setidaknya sejak Oktober 2020. Awalnya mereka memusatkan perhatian pada negara Myanmar. Tapi kemudian para penyerang mengalihkan fokusnya ke Filipina.
Serangan ini biasanya masuk ke dalam sistem melalui e-mail spear-phishing dengan tautan unduhan Dropbox. Ketika tautan diklik, sistem akan secara otomatis mengunduh arsip RAR yang disamarkan sebagai dokumen Word, tapi berisi muatan berbahaya.
Setelah diunduh pada sistem, malware mencoba menginfeksi host lain dengan menyebar melalui drive USB yang dapat dilepas-pasang. Apabila drive ditemukan, malware membuat direktori tersembunyi di drive, dan selanjutnya memindahkan seluruh file korban, bersama dengan executable berbahaya.
Malware ini juga memiliki dua alat pasca-eksploitasi yang pada gilirannya dapat digunakan untuk gerakan lateral. Salah satunya terdiri dari Zoom versi palsu dan yang lainnya mencuri cookie dari browser Chrome.
Setelah berada di perangkat, Luminous Moth terus bergerak untuk mengekstrak data ke server command and control (C2). Untuk target di Myanmar, server C2 ini sering kali merupakan domain yang meniru outlet berita terkenal.
Pakar Kaspersky mengaitkan Luminous Moth dengan kelompok ancaman Honey Myte, aktor ancaman berbahasa China yang terkenal, sudah lama berdiri, dengan tingkat kepercayaan diri sedang hingga tinggi. Honey Myte biasanya memiliki minat yang tinggi untuk mengumpulkan intelijen geopolitik dan ekonomi di Asia dan Afrika.
“Kumpulan aktivitas baru ini mungkin menunjukkan tren yang telah kita saksikan sepanjang tahun ini: pelaku ancaman berbahasa China kembali melengkapi persenjataan mereka dan memproduksi implan malware baru dan tidak dikenal,” komentar Mark Lechtik, Peneliti Keamanan Senior dengan Global Research and Analysis Team (GReAT) Kaspersky
“Skala besar serangan yang terjadi sebenarnya cukup langka. Menjadi menarik juga bahwa kita menyaksikan lebih banyak serangan di Filipina daripada di Myanmar. Ini mungkin karena penggunaan drive USB sebagai mekanisme penyebaran atau kemungkinan vektor infeksi lain yang belum kami ketahui digunakan di Filipina,” tambah Aseel Kayal, Peneliti Keamanan di GREAT.
“Kami melihat peningkatan aktivitas oleh aktor ancaman berbahasa China tahun lalu, dan kemungkinan besar ini tidak menjadi aksi yang terakhir dari Luminous Moth. Selain itu, ada kemungkinan besar grup tersebut akan mulai mempertajam perangkatnya lebih lanjut. Kami akan terus mengawasi perkembangan kelompok ini di masa mendatang,” komentar Paul Rascagneres, Peneliti Keamanan Senior di GReAT.
Kaspersky merekomendasikan sejumlah langkah agar terhindar dari kampanye APT, seperti Luminous Moth:
- Memberikan pelatihan kebersihan keamanan siber dasar (basic cyber hygiene) kepada karyawan. Pasalnya banyak serangan yang dimulai dengan phishing atau teknik rekayasa sosial lainnya.
- Melakukan audit keamanan siber terhadap jaringan perusahaan dan memperbaiki kelemahan yang ditemukan di perimeter atau di dalam jaringan.
- Memasang solusi anti-APT dan EDR sehingga memungkinkan penemuan dan deteksi ancaman, investigasi, dan kemampuan perbaikan insiden yang tepat waktu.
- Memberi tim SOC akses ke intelijen ancaman terbaru dan meningkatkan kemahiran mereka dengan pelatihan profesional, seperti yang tersedia di Kaspersky Expert Security framework.
- Selain menerapkan endpoint protection, Kaspersky juga menyarankan penerapan layanan khusus, misalnya Kaspersky Managed Detection and Response, untuk melawan serangan yang berkategori high profile.