LunarWeb-achterdeur
Een Europees Ministerie van Buitenlandse Zaken (MFA) en zijn drie diplomatieke missies in het Midden-Oosten werden onlangs getroffen door een nieuwe achterdeur genaamd LunarWeb, die nog niet eerder was gedocumenteerd. Bovendien gebruikten aanvallers een ander kwaadaardig hulpmiddel, genaamd LunarMail. Onderzoekers zijn er met redelijk vertrouwen van overtuigd dat deze cyberaanval het werk is van de aan Rusland verbonden cyberspionagegroep Turla, bekend onder verschillende aliassen, waaronder Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos en Venomous Bear. De toeschrijving is gebaseerd op overeenkomsten in tactieken die zijn waargenomen in eerdere campagnes die verband houden met deze bedreigingsacteur.
LunarWeb werkt op servers die HTTP(S) gebruiken voor zijn Command-and-Control (C&C)-communicatie, waardoor zijn activiteiten worden vermomd als legitieme verzoeken. Aan de andere kant blijft LunarMail, ingezet op werkstations, persistent als een Outlook-invoegtoepassing en gebruikt het e-mailberichten voor zijn C&C-communicatie. Een onderzoek van de maanartefacten suggereert dat ze al in 2020, of mogelijk zelfs eerder, bij gerichte aanvallen hadden kunnen worden gebruikt.
Inhoudsopgave
De Turla APT is een grote bedreigingsacteur op het gebied van cybercriminaliteit
Turla, waarvan wordt aangenomen dat het verbonden is met de Russische Federale Veiligheidsdienst (FSB), is een geavanceerde persistente dreiging (APT) waarvan bekend is dat deze al sinds 1996 actief is. Het heeft een staat van dienst als het gaat om het aanvallen van een reeks industrieën, waaronder de overheid, ambassades, het leger , onderwijs-, onderzoeks- en farmaceutische sectoren.
Eerder in 2024 werd ontdekt dat de cyberspionagegroep Poolse organisaties aanviel om een achterdeur genaamd TinyTurla-NG (TTNG) te verspreiden. De Turla-groep is een hardnekkige tegenstander met een lange geschiedenis van activiteiten. Hun oorsprong, tactieken en doelen duiden allemaal op een goed gefinancierde operatie met zeer bekwame agenten.
Infectievectoren voor de levering van de LunarWeb Backdoor
De precieze methode die wordt gebruikt om de MFA te doorbreken is momenteel onbekend, maar er wordt vermoed dat er elementen van spear-phishing en exploitatie van verkeerd geconfigureerde Zabbix-software bij betrokken zijn. Aangenomen wordt dat de eerste fase van de aanval begint met een gecompileerde versie van een ASP.NET-webpagina, die dient als kanaal voor het decoderen van twee ingebedde blobs die LunarLoader (een lader) en de LunarWeb-achterdeur bevatten.
Wanneer de pagina tijdens dit proces wordt geopend, wordt er een wachtwoord verwacht in een cookie met de naam SMSKey. Indien opgegeven, wordt dit wachtwoord gebruikt om een cryptografische sleutel af te leiden voor het decoderen van daaropvolgende payloads. De aanvaller had waarschijnlijk al bestaande netwerktoegang, gebruikte gestolen inloggegevens voor zijdelingse verplaatsing en ondernam opzettelijke acties om de server op discrete wijze in gevaar te brengen.
Aan de andere kant wordt LunarMail verspreid via een kwaadaardig Microsoft Word-document dat wordt verzonden via spearphishing-e-mails, die payloads van LunarLoader en de bijbehorende achterdeur bevatten.
Hoe werken de LunarWeb- en LunarMail-backdoors nadat ze zijn uitgevoerd?
LunarWeb is in staat systeeminformatie te verzamelen en opdrachten uit te voeren die zijn ingebed in JPG- en GIF-beeldbestanden die zijn ontvangen van de C&C-server. De resultaten worden vervolgens gecomprimeerd en gecodeerd voordat ze weer worden verzonden. Om detectie te omzeilen, vermomt LunarWeb zijn netwerkverkeer zodat het lijkt op legitieme activiteiten zoals Windows-updates.
De C&C-instructies stellen LunarWeb in staat shell- en PowerShell-opdrachten uit te voeren, Lua-code uit te voeren, bestanden te manipuleren en gespecificeerde mappen te archiveren. Een ander implantaat, LunarMail, beschikt over vergelijkbare functionaliteiten, maar werkt op een unieke manier door te integreren met Outlook en te communiceren met de C&C-server via e-mail, waarbij wordt gescand op specifieke berichten met PNG-bijlagen.
De opdrachten van LunarMail omvatten het configureren van een Outlook-profiel voor C&C, het starten van willekeurige processen en het maken van schermafbeeldingen. De uitvoer van deze acties wordt verborgen in PNG-afbeeldingen of PDF-documenten voordat deze als e-mailbijlage naar een door de aanvaller gecontroleerde inbox wordt verzonden.
LunarMail is ontworpen voor gebruik op gebruikerswerkstations in plaats van op servers, en blijft bestaan als een Outlook-invoegtoepassing. De operationele methoden weerspiegelen die van LightNeuron , een andere achterdeur van Turla die e-mailberichten gebruikt voor C&C-communicatie.
