لونار ويب مستتر
تعرضت وزارة الخارجية الأوروبية (MFA) وبعثاتها الدبلوماسية الثلاث في الشرق الأوسط مؤخرًا لباب خلفي جديد يسمى LunarWeb، والذي لم يتم توثيقه من قبل. بالإضافة إلى ذلك، استخدم المهاجمون أداة ضارة أخرى تسمى LunarMail. يعتقد الباحثون بثقة متوسطة أن هذا الهجوم السيبراني هو من عمل مجموعة التجسس الإلكتروني المتحالفة مع روسيا Turla، والمعروفة بأسماء مستعارة مختلفة، بما في ذلك Iron Hunter وPensive Ursa وSecret Blizzard وSnake و Uroburos وVenomous Bear. يعتمد الإسناد على أوجه التشابه في التكتيكات التي تمت ملاحظتها في الحملات السابقة المرتبطة بممثل التهديد هذا.
تعمل LunarWeb على خوادم تستخدم HTTP(S) لاتصالات القيادة والتحكم (C&C)، مما يخفي نشاطها على أنه طلبات مشروعة. من ناحية أخرى، يظل LunarMail، المنتشر على محطات العمل، ثابتًا كوظيفة إضافية في Outlook ويستخدم رسائل البريد الإلكتروني لاتصالات القيادة والسيطرة الخاصة به. يشير فحص القطع الأثرية القمرية إلى أنه كان من الممكن استخدامها في هجمات مستهدفة في وقت مبكر من عام 2020، أو ربما حتى قبل ذلك.
جدول المحتويات
تُعد Turla APT جهة تهديد رئيسية في مسرح الجرائم الإلكترونية
يعد Turla، الذي تم تقييمه على أنه تابع لجهاز الأمن الفيدرالي الروسي (FSB)، تهديدًا متقدمًا ومستمرًا (APT) ومن المعروف أنه نشط منذ عام 1996 على الأقل. وله سجل حافل في استهداف مجموعة من الصناعات التي تشمل الحكومة والسفارات والمؤسسات العسكرية. وقطاعات التعليم والبحث والصيدلة.
في وقت سابق من عام 2024، تم اكتشاف مجموعة التجسس الإلكتروني وهي تهاجم المنظمات البولندية لتوزيع باب خلفي يسمى TinyTurla-NG (TTNG). تعتبر مجموعة تورلا خصمًا مستمرًا وله تاريخ طويل من الأنشطة. تشير أصولهم وتكتيكاتهم وأهدافهم جميعًا إلى عملية ممولة جيدًا مع عملاء ذوي مهارات عالية.
ناقلات العدوى لتسليم LunarWeb Backdoor
الطريقة الدقيقة المستخدمة لاختراق MFA غير معروفة حاليًا، ولكن يشتبه في أنها تتضمن عناصر من التصيد الاحتيالي واستغلال برنامج Zabbix الذي تم تكوينه بشكل خاطئ. يُعتقد أن المرحلة الأولى من الهجوم تبدأ بنسخة مجمعة من صفحة ويب ASP.NET، تعمل كقناة لفك تشفير نقطتين مضمنتين تحتويان على LunarLoader (مُحمل) والباب الخلفي LunarWeb.
في هذه العملية، عند الوصول إلى الصفحة، فإنها تتوقع كلمة مرور ضمن ملف تعريف الارتباط المسمى SMSKey. إذا تم توفيرها، فسيتم استخدام كلمة المرور هذه لاشتقاق مفتاح تشفير لفك تشفير الحمولات اللاحقة. من المحتمل أن المهاجم كان لديه وصول مسبق إلى الشبكة، واستخدم بيانات الاعتماد المسروقة للحركة الجانبية، واتخذ إجراءات متعمدة لاختراق الخادم بشكل سري.
من ناحية أخرى، يتم نشر LunarMail عبر مستند Microsoft Word ضار يتم إرساله عبر رسائل البريد الإلكتروني للتصيد الاحتيالي، والذي يتضمن حمولات LunarLoader والباب الخلفي المرتبط به.
كيف تعمل الأبواب الخلفية LunarWeb وLunarMail بمجرد تنفيذها؟
LunarWeb قادر على جمع معلومات النظام وتنفيذ الأوامر المضمنة في ملفات صور JPG وGIF المستلمة من خادم C&C. يتم بعد ذلك ضغط النتائج وتشفيرها قبل إرسالها مرة أخرى. لتجنب الكشف، تقوم LunarWeb بإخفاء حركة مرور الشبكة الخاصة بها لتشبه الأنشطة المشروعة مثل تحديثات Windows.
تمكّن تعليمات C&C LunarWeb من تنفيذ أوامر Shell وPowerShell، وتشغيل كود Lua، ومعالجة الملفات، وأرشفة الدلائل المحددة. تمتلك عملية زرع أخرى، LunarMail، وظائف مماثلة ولكنها تعمل بشكل فريد من خلال التكامل مع Outlook والتواصل مع خادم القيادة والسيطرة الخاص بها عبر البريد الإلكتروني، والمسح بحثًا عن رسائل محددة تحتوي على مرفقات PNG.
تتضمن أوامر LunarMail تكوين ملف تعريف Outlook لـ C&C، وإطلاق عمليات عشوائية، والتقاط لقطات الشاشة. يتم إخفاء مخرجات هذه الإجراءات داخل صور PNG أو مستندات PDF قبل إرسالها كمرفقات بريد إلكتروني إلى صندوق الوارد الذي يتحكم فيه المهاجم.
تم تصميم LunarMail للنشر على محطات عمل المستخدم بدلاً من الخوادم، ويستمر كوظيفة إضافية في Outlook. تعكس أساليبها التشغيلية أساليب LightNeuron ، وهو باب خلفي آخر من Turla يستخدم رسائل البريد الإلكتروني لاتصالات القيادة والسيطرة.
