LunarWeb aizmugures durvis
Eiropas Ārlietu ministriju (ĀM) un tās trīs diplomātiskās pārstāvniecības Tuvajos Austrumos nesen skāra jaunas aizmugures durvis ar nosaukumu LunarWeb, kas iepriekš nebija dokumentēta. Turklāt uzbrucēji izmantoja citu ļaunprātīgu rīku, ko sauc par LunarMail. Pētnieki ar vidēju pārliecību uzskata, ka šo kiberuzbrukumu ir veikusi ar Krieviju saistīta kiberspiegošanas grupa Turla, kas pazīstama ar dažādiem pseidonīmiem, tostarp Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos un Venomous Bear. Attiecinājums ir balstīts uz taktiku līdzībām, kas novērotas iepriekšējās kampaņās, kas saistītas ar šo apdraudējuma dalībnieku.
LunarWeb darbojas serveros, izmantojot HTTP(S) komandu un vadības (C&C) sakariem, maskējot savu darbību kā likumīgus pieprasījumus. No otras puses, darbstacijās izvietotais LunarMail joprojām ir noturīgs kā Outlook pievienojumprogramma un izmanto e-pasta ziņojumus C&C saziņai. Mēness artefaktu izpēte liecina, ka tos varēja izmantot mērķtiecīgos uzbrukumos jau 2020. gadā vai, iespējams, pat agrāk.
Satura rādītājs
Turla APT ir galvenais draudu aktieris kibernoziedzības vietā
Turla, kas tiek uzskatīts par saistīts ar Krievijas Federālo drošības dienestu (FSB), ir attīstīts pastāvīgs drauds (APT), kas ir zināms, ka tas ir aktīvs vismaz kopš 1996. , izglītības, pētniecības un farmācijas nozarēs.
2024. gada sākumā tika atklāts, ka kiberspiegošanas grupa uzbrūk Polijas organizācijām, lai izplatītu aizmugures durvis ar nosaukumu TinyTurla-NG (TTNG). Grupa Turla ir neatlaidīgs pretinieks ar ilgu darbības vēsturi. Viņu izcelsme, taktika un mērķi liecina par labi finansētu operāciju ar augsti kvalificētiem darbiniekiem.
Infekcijas vektori LunarWeb Backdoor piegādei
Precīza metode, kas izmantota MFA pārkāpšanai, pašlaik nav zināma, taču ir aizdomas, ka tā ietver pikšķerēšanas elementus un nepareizi konfigurētas Zabbix programmatūras izmantošanu. Tiek uzskatīts, ka uzbrukuma sākotnējais posms sākas ar ASP.NET tīmekļa lapas kompilētu versiju, kas kalpo kā kanāls divu iegultu bloku atšifrēšanai, kas satur LunarLoader (iekrāvēju) un LunarWeb aizmugures durvis.
Šajā procesā, kad lapa tiek atvērta, tā sagaida paroli sīkfailā ar nosaukumu SMSKey. Ja ir norādīta, šī parole tiek izmantota, lai iegūtu kriptogrāfisko atslēgu turpmāko lietderīgo kravu atšifrēšanai. Uzbrucējam, visticamāk, jau bija piekļuve tīklam, viņš izmantoja zagtus akreditācijas datus, lai pārvietotos uz sāniem, un veica apzinātas darbības, lai diskrēti apdraudētu serveri.
No otras puses, LunarMail tiek izplatīts, izmantojot ļaunprātīgu Microsoft Word dokumentu, kas tiek nosūtīts ar pikšķerēšanas e-pastiem, kas ietver LunarLoader un ar to saistītās aizmugures durvis.
Kā LunarWeb un LunarMail Backdoors darbojas pēc izpildes?
LunarWeb spēj apkopot sistēmas informāciju un izpildīt komandas, kas iegultas JPG un GIF attēlu failos, kas saņemti no C&C servera. Pēc tam rezultāti tiek saspiesti un šifrēti, pirms tie tiek nosūtīti atpakaļ. Lai izvairītos no atklāšanas, LunarWeb maskē savu tīkla trafiku, lai līdzinātos likumīgām darbībām, piemēram, Windows atjauninājumiem.
C&C instrukcijas ļauj LunarWeb izpildīt čaulas un PowerShell komandas, palaist Lua kodu, manipulēt ar failiem un arhivēt norādītos direktorijus. Citam implantam LunarMail ir līdzīgas funkcijas, taču tas darbojas unikāli, integrējoties programmā Outlook un sazinoties ar tā C&C serveri, izmantojot e-pastu, meklējot konkrētus ziņojumus, kuros ir PNG pielikumi.
LunarMail komandas ietver Outlook profila konfigurēšanu C&C, patvaļīgu procesu palaišanu un ekrānuzņēmumu tveršanu. Šo darbību izvade tiek paslēpta PNG attēlos vai PDF dokumentos, pirms tiek nosūtīta kā e-pasta pielikumi uz uzbrucēju kontrolētu iesūtni.
LunarMail ir paredzēts izvietošanai lietotāju darbstacijās, nevis serveros, saglabājot kā Outlook pievienojumprogrammu. Tās darbības metodes atspoguļo LightNeuron , citas Turla aizmugures durvis, kas izmanto e-pasta ziņojumus C&C saziņai.
