Задна врата на LunarWeb
Европейското министерство на външните работи (МВнР) и неговите три дипломатически мисии в Близкия изток наскоро бяха засегнати от нова задна вратичка, наречена LunarWeb, която не е била документирана преди. Освен това нападателите са използвали друг злонамерен инструмент, наречен LunarMail. Изследователите смятат със средна увереност, че тази кибератака е дело на свързаната с Русия група за кибершпионаж Turla, известна с различни псевдоними, включително Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos и Venomous Bear. Приписването се основава на прилики в тактиките, наблюдавани в предишни кампании, свързани с тази заплаха.
LunarWeb оперира на сървъри, използващи HTTP(S) за своите командно-контролни (C&C) комуникации, прикривайки дейността си като легитимни заявки. От друга страна, LunarMail, внедрен на работни станции, остава постоянен като добавка на Outlook и използва имейл съобщения за своите C&C комуникации. Изследването на лунните артефакти предполага, че те биха могли да бъдат използвани в целенасочени атаки още през 2020 г. или вероятно дори по-рано.
Съдържание
Turla APT е основна заплаха на сцената на киберпрестъпленията
Turla, за която се смята, че е свързана с Федералната служба за сигурност на Русия (FSB), е напреднала постоянна заплаха (APT), за която е известно, че е активна поне от 1996 г. Има опит в насочването към редица индустрии, обхващащи правителството, посолствата, военните , образователен, изследователски и фармацевтичен сектор.
По-рано през 2024 г. беше разкрита група за кибершпионаж, която атакува полски организации, за да разпространява задна врата, наречена TinyTurla-NG (TTNG). Групата Турла е постоянен противник с дълга история на дейност. Техният произход, тактика и цели показват добре финансирана операция с висококвалифицирани оперативни работници.
Инфекционни вектори за доставка на задната врата на LunarWeb
Точният метод, използван за нарушаване на MFA, в момента е неизвестен, но се подозира, че включва елементи на фишинг и експлоатация на неправилно конфигуриран софтуер Zabbix. Смята се, че началният етап на атаката започва с компилираната версия на ASP.NET уеб страница, служеща като канал за декодиране на два вградени петна, съдържащи LunarLoader (зареждащо устройство) и задната врата на LunarWeb.
В този процес, когато се отвори страницата, тя очаква парола в бисквитка с име SMSKey. Ако е предоставена, тази парола се използва за извличане на криптографски ключ за дешифриране на последващи полезни данни. Нападателят вероятно е имал предварително съществуващ достъп до мрежата, използвал е откраднати идентификационни данни за странично движение и е предприел умишлени действия за дискретно компрометиране на сървъра.
От друга страна, LunarMail се разпространява чрез злонамерен документ на Microsoft Word, изпратен чрез фишинг имейли, който включва полезни данни на LunarLoader и свързаната задна врата.
Как работят задните врати на LunarWeb и LunarMail, след като бъдат изпълнени?
LunarWeb е в състояние да събира системна информация и да изпълнява команди, вградени в JPG и GIF файлове с изображения, получени от C&C сървъра. След това резултатите се компресират и криптират, преди да бъдат изпратени обратно. За да избегне откриването, LunarWeb прикрива своя мрежов трафик, за да наподобява легитимни дейности като актуализации на Windows.
Инструкциите на C&C позволяват на LunarWeb да изпълнява команди на shell и PowerShell, да изпълнява Lua код, да манипулира файлове и да архивира определени директории. Друг имплант, LunarMail, притежава подобни функции, но работи уникално чрез интегриране с Outlook и комуникация с неговия C&C сървър чрез имейл, сканиране за конкретни съобщения, съдържащи PNG прикачени файлове.
Командите на LunarMail включват конфигуриране на Outlook профил за C&C, стартиране на произволни процеси и заснемане на екранни снимки. Резултатът от тези действия е скрит в PNG изображения или PDF документи, преди да бъде изпратен като прикачен файл към имейл към контролирана от нападателя входяща кутия.
LunarMail е предназначен за внедряване на потребителски работни станции, а не на сървъри, като продължава да съществува като добавка на Outlook. Неговите оперативни методи отразяват тези на LightNeuron , друга задна врата на Turla, която използва имейл съобщения за C&C комуникации.
