LunarWeb Backdoor
Europos užsienio reikalų ministeriją (URM) ir tris jos diplomatines atstovybes Artimuosiuose Rytuose neseniai užklupo naujas užpakalinis „LunarWeb“, kuris anksčiau nebuvo dokumentuotas. Be to, užpuolikai naudojo kitą kenkėjišką įrankį, pavadintą „LunarMail“. Tyrėjai su vidutiniu pasitikėjimu mano, kad šią kibernetinę ataką surengė Rusijai priklausanti kibernetinio šnipinėjimo grupė „Turla“, žinoma įvairiais slapyvardžiais, įskaitant „Iron Hunter“, „Pensive Ursa“, „Secret Blizzard“, „Snake“, „Uroburos“ ir „Venomous Bear“. Priskyrimas pagrįstas taktikos panašumais, pastebėtais ankstesnėse kampanijose, susijusiose su šiuo grėsmės veikėju.
„LunarWeb“ veikia serveriuose, naudojant HTTP(S) savo komandų ir valdymo (C&C) ryšiui, užmaskuodamas savo veiklą kaip teisėtus prašymus. Kita vertus, „LunarMail“, įdiegtas darbo stotyse, išlieka nuolatinis kaip „Outlook“ priedas ir C&C komunikacijai naudoja el. pašto pranešimus. Mėnulio artefaktų tyrimas rodo, kad jie galėjo būti panaudoti tikslinėse atakose jau 2020 m., o gal net anksčiau.
Turinys
Turla APT yra pagrindinis grėsmės veikėjas elektroninių nusikaltimų scenoje
Turla, kuri, kaip manoma, yra susijusi su Rusijos Federaline saugumo tarnyba (FSB), yra pažangi nuolatinė grėsmė (APT), kuri, kaip žinoma, veikia mažiausiai nuo 1996 m. Ji yra nusitaikusi į įvairias pramonės šakas, apimančias vyriausybę, ambasadas ir kariuomenę. , švietimo, mokslinių tyrimų ir farmacijos sektoriuose.
Anksčiau 2024 m. buvo aptikta, kad kibernetinio šnipinėjimo grupė atakuoja Lenkijos organizacijas, siekdama platinti užpakalines duris pavadinimu TinyTurla-NG (TTNG). Grupė Turla yra nuolatinis priešininkas, turintis ilgą veiklos istoriją. Jų kilmė, taktika ir tikslai rodo gerai finansuojamą operaciją su aukštos kvalifikacijos darbuotojais.
Infekcijos vektoriai, skirti LunarWeb Backdoor pristatymui
Tikslus metodas, naudojamas MFA pažeisti, šiuo metu nežinomas, tačiau įtariama, kad tai susiję su sukčiavimu ir netinkamai sukonfigūruotos „Zabbix“ programinės įrangos išnaudojimu. Manoma, kad pradinis atakos etapas prasidės sukompiliuota ASP.NET tinklalapio versija, naudojama kaip kanalas iššifruoti dvi įterptąsias blobas, kuriose yra LunarLoader (įkroviklis) ir LunarWeb užpakalinės durys.
Šiame procese, kai atidaromas puslapis, slapuke, pavadintame SMSKey, jis tikisi slaptažodžio. Jei pateikiamas, šis slaptažodis naudojamas kriptografiniam raktui gauti, kad būtų iššifruoti tolesni naudingi kroviniai. Tikėtina, kad užpuolikas jau turėjo prieigą prie tinklo, naudojo pavogtus kredencialus, kad galėtų judėti į šoną, ir ėmėsi tyčinių veiksmų, kad diskretiškai pažeistų serverį.
Kita vertus, „LunarMail“ platinama per kenkėjišką „Microsoft Word“ dokumentą, siunčiamą sukčiavimo el. laiškais, kuriuose yra „LunarLoader“ ir susijusių užpakalinių durų.
Kaip veikia „LunarWeb“ ir „LunarMail“ užpakalinės durys, kai jos vykdomos?
„LunarWeb“ gali rinkti sistemos informaciją ir vykdyti komandas, įterptas į JPG ir GIF vaizdo failus, gautus iš C&C serverio. Tada rezultatai suglaudinami ir užšifruojami prieš išsiunčiant atgal. Kad išvengtų aptikimo, „LunarWeb“ užmaskuoja tinklo srautą, kad būtų panašus į teisėtą veiklą, pvz., „Windows“ naujinimus.
C&C instrukcijos leidžia „LunarWeb“ vykdyti apvalkalo ir „PowerShell“ komandas, paleisti Lua kodą, manipuliuoti failais ir archyvuoti nurodytus katalogus. Kitas implantas „LunarMail“ turi panašias funkcijas, tačiau veikia unikaliai, integruodamas su „Outlook“ ir bendraudamas su jo C&C serveriu el. paštu, nuskaitydamas konkrečius pranešimus su PNG priedais.
„LunarMail“ komandos apima „Outlook“ profilio, skirto C&C, konfigūravimą, savavališkų procesų paleidimą ir ekrano kopijų fiksavimą. Šių veiksmų išvestis slepiama PNG vaizduose arba PDF dokumentuose prieš siunčiant kaip el. pašto priedus į užpuoliko valdomą gautųjų aplanką.
„LunarMail“ sukurtas diegti vartotojų darbo stotyse, o ne serveriuose, ir išlieka kaip „Outlook“ priedas. Jo veikimo metodai atspindi „LightNeuron“ – kitos „Turla“ užpakalinės durys, kuriose C&C komunikacijai naudojami el. pašto pranešimai.
