2021年7月，卡巴斯基发现一种针对东南亚的攻击活动，被称作LuminoutMoth。该活动至少可以追溯到2020年10月，早期的攻击大多在缅甸但现在主要在菲律宾，目前发现缅甸共有100多名受害者，菲律宾有1,400名受害者，其中一些受害者是政府实体。

APT组织向受害者发送包含Dropbox下载链接的钓鱼邮件，通过将file_subpath参数设置为指向带有.DOCX后缀的文件名，该链接指向一个伪装成Word文档的RAR压缩包。

hxxps://www.dropbox[.]com/s/esh1ywo9irbexvd/COVID-19%20Case%2012-11-2020.rar?dl=0&file_subpath=%2FCOVID-19+Case+12-11-2020%2FCOVID-19+Case+12-11-2020(2).docx

压缩包中包含两个恶意DLL和两个加载DLL的合法可执行程序。

RAR中两个恶意DLL分别名为wwlib.dll和version.dll，两个合法的可执行程序分别为winword.exe和igfxem.exe，分别加载恶意的DLL。winword.exe是Microsoft Word的主程序，而igfxem.exe是intel核心显卡的驱动程序软件。

version.dll

文件名version.dllMD50f8b7a64336b4315cc0a2e6171ab027eSHA12d0296ac56db3298163bf3f6b622fdc319a9be23SHA25659b8167afba63b9b4fa4369e6664f274c4e2760a4e2ae4ee12d43c07c9655e0f编译时间2020-12-24 15:20:16文件类型Win32 DLL

version.dll在DLLMain中提供三种参数情况，第一种是无参数，第二种参数为system，第三种参数为assist。

首先通过检测父进程是否为explorer.exe来检测是否被调试。

创建文件夹c:\\users\\public\\Documents\\Shared Virtual Machines\\，并设置为系统隐藏文件夹。

之后将四个目标文件复制到信创建的文件夹。

创建igfxEM.exe进程，并传参assist

传参assist

首先创建一个名为nfvlqfnlqwnlf

启动WINWORD.EXE。

将igfxEM.exe写入到开机自启。

启动新线程sub_10013E3，并创建新进程调用system参数。

遍历除C盘下根目录所有文件。

在当前目录下创建udisk.log并写入。

参数为system

新建一个事件qjlfqwle21ljl。

寻找除C盘外的其他盘符

在其他盘符下创建一个隐藏文件夹

将igfxEM.exe复制到目录下重命名为USB Driver.exe。

移动用户的所有文件到该隐藏目录

wwlib.dll

文件名wwlib.dllMD54fbc4835746a9c64f8d697659bfe8554SHA1b43d7317d3144c760d82c4c7506eba1143821ac1SHA25695bcc8c3d9d23289b4ff284cb685b741fe92949be35c69c1faa3a3846f1ab947编译时间2020-12-24 16:25:39文件类型Win32 DLLpdbC:\Users\USER\Desktop\白加黑\1.35M WinWord - 副本\libhwcodec\Release\wwlib.pdb

创建互斥体防止运行多次

之后与103.15.28[.]195通信，可以看到这部分为Cobalt Strike的特征，与C2通信并下载新的载荷，创建新线程。

分析时该C2已经关闭服务，猜测后续可能是使用Cobalt Strike进行远控。

103.15.28[.]195

4fbc4835746a9c64f8d697659bfe8554

0f8b7a64336b4315cc0a2e6171ab027e

• https://securelist.com/apt-luminousmoth/103332/

文由ChaMd5