LunarWeb Bagdør
Et europæisk udenrigsministerium (MFA) og dets tre diplomatiske missioner i Mellemøsten blev for nylig ramt af en ny bagdør kaldet LunarWeb, som ikke var blevet dokumenteret før. Derudover brugte angribere et andet ondsindet værktøj, kaldet LunarMail. Forskere mener med medium tillid, at dette cyberangreb er værket af den russisk-tilpassede cyberespionagegruppe Turla, kendt under forskellige aliaser, herunder Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos og Venomous Bear. Tilskrivningen er baseret på ligheder i taktik observeret i tidligere kampagner forbundet med denne trusselsaktør.
LunarWeb opererer på servere, der bruger HTTP(S) til sin Command-and-Control-kommunikation (C&C) og skjuler sin aktivitet som legitime anmodninger. På den anden side forbliver LunarMail, implementeret på arbejdsstationer, vedvarende som et Outlook-tilføjelsesprogram og bruger e-mail-meddelelser til sin C&C-kommunikation. En undersøgelse af måneartefakterne tyder på, at de kunne have været brugt i målrettede angreb så tidligt som i 2020, eller muligvis endnu tidligere.
Indholdsfortegnelse
Turla APT er en stor trusselskuespiller på scenen for cyberkriminalitet
Turla, der vurderes at være tilknyttet Ruslands føderale sikkerhedstjeneste (FSB), er en avanceret vedvarende trussel (APT), der er kendt for at være aktiv siden mindst 1996. Den har en track record med at målrette mod en række industrier, der spænder over regering, ambassader, militær , uddannelse, forskning og farmaceutiske sektorer.
Tidligere i 2024 blev cyberspionagegruppen opdaget angribe polske organisationer for at distribuere en bagdør ved navn TinyTurla-NG (TTNG). Turla-gruppen er en vedholdende modstander med en lang historie af aktiviteter. Deres oprindelse, taktik og mål indikerer alle en velfinansieret operation med højt kvalificerede operatører.
Infektionsvektorer til levering af LunarWeb-bagdøren
Den præcise metode, der blev brugt til at bryde MFA, er i øjeblikket ukendt, men den er mistænkt for at involvere elementer af spear-phishing og udnyttelse af forkert konfigureret Zabbix-software. Den indledende fase af angrebet menes at begynde med en kompileret version af en ASP.NET-webside, der fungerer som en kanal til at afkode to indlejrede blobs, der indeholder LunarLoader (en loader) og LunarWeb-bagdøren.
I denne proces, når siden tilgås, forventer den en adgangskode i en cookie med navnet SMSKey. Hvis den er angivet, bruges denne adgangskode til at udlede en kryptografisk nøgle til dekryptering af efterfølgende nyttelaster. Angriberen havde sandsynligvis allerede eksisterende netværksadgang, brugte stjålne legitimationsoplysninger til lateral bevægelse og foretog bevidste handlinger for at kompromittere serveren diskret.
På den anden side spredes LunarMail via et ondsindet Microsoft Word-dokument, der sendes gennem spear-phishing-e-mails, som inkluderer nyttelast af LunarLoader og den tilhørende bagdør.
Hvordan fungerer LunarWeb og LunarMail-bagdørene, når de er udført?
LunarWeb er i stand til at indsamle systeminformation og udføre kommandoer indlejret i JPG- og GIF-billedfiler modtaget fra C&C-serveren. Resultaterne komprimeres og krypteres, før de sendes ud igen. For at undgå opdagelse skjuler LunarWeb sin netværkstrafik, så den ligner legitime aktiviteter såsom Windows-opdateringer.
C&C-instruktionerne gør det muligt for LunarWeb at udføre shell- og PowerShell-kommandoer, køre Lua-kode, manipulere filer og arkivere specificerede mapper. Et andet implantat, LunarMail, besidder lignende funktionaliteter, men fungerer unikt ved at integrere med Outlook og kommunikere med dets C&C-server via e-mail, og scanner for specifikke meddelelser, der indeholder PNG-vedhæftede filer.
LunarMails kommandoer inkluderer konfiguration af en Outlook-profil til C&C, start af vilkårlige processer og optagelse af skærmbilleder. Output fra disse handlinger er skjult i PNG-billeder eller PDF-dokumenter, før de sendes som e-mail-vedhæftede filer til en angriberstyret indbakke.
LunarMail er designet til udrulning på brugerarbejdsstationer i stedet for servere, og fortsætter som et Outlook-tilføjelsesprogram. Dens operationelle metoder afspejler LightNeuron , en anden Turla-bagdør, der anvender e-mail-beskeder til C&C-kommunikation.
