LuminousMoth样本分析报告

前言2021年7月，卡巴斯基发现一种针对东南亚的攻击活动，被称作LuminoutMoth。该活动至少可以追溯到2020年10月，早期的攻击大多在缅甸但现在主要在菲律宾，目前发现缅甸共有100多名受害者，菲律宾有1,400名受害者，其中一些受害者是政府实体。源头APT组织向受害者发送包含Dropbox下载链接的钓鱼邮件，通过将file_subpath参数设置为指向带有.DOCX后缀的文件名，该链接指向一个伪装成Word文档的RAR压缩包。hxxps://www.dropbox[.]com/s/esh1ywo9irbexvd/COVID-19%20Case%2012-11-2020.rar?dl=0&file_subpath=%2FCOVID-19+Case+12-11-2020%2FCOVID-19+Case+12-11-2020(2).docx压缩包中包含两个恶意DLL和两个加载DLL的合法可执行程序。第一阶段RAR中两个恶意DLL分别名为wwlib.dll和version.dll，两个合法的可执行程序分别为winword.exe和igfxe ………………………………