Porta posterior de LunarWeb
Un Ministeri Europeu d'Afers Exteriors (MFA) i les seves tres missions diplomàtiques a l'Orient Mitjà es van veure recentment afectats per una nova porta del darrere anomenada LunarWeb, que no s'havia documentat abans. A més, els atacants van utilitzar una altra eina maliciosa, anomenada LunarMail. Els investigadors creuen amb una confiança mitjana que aquest ciberatac és obra del grup de ciberespionatge alineat a Rússia Turla, conegut per diversos àlies, com ara Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos i Venomous Bear. L'atribució es basa en similituds de tàctiques observades en campanyes anteriors associades a aquest actor d'amenaça.
LunarWeb opera en servidors que utilitzen HTTP(S) per a les seves comunicacions de comandament i control (C&C), dissimulant la seva activitat com a sol·licituds legítimes. D'altra banda, LunarMail, desplegat a les estacions de treball, continua sent persistent com a complement d'Outlook i utilitza missatges de correu electrònic per a les seves comunicacions C&C. Un examen dels artefactes lunars suggereix que podrien haver estat emprats en atacs dirigits tan aviat com el 2020, o possiblement fins i tot abans.
Taula de continguts
El Turla APT és un actor d'amenaça important en l'escena del cibercrim
Turla, que està afiliat al Servei Federal de Seguretat (FSB) de Rússia, és una amenaça persistent avançada (APT) que se sap que està activa des d'almenys 1996. Té un historial d'orientació a una sèrie d'indústries que inclouen govern, ambaixades i militars. , educació, recerca i sectors farmacèutic.
A principis de 2024, es va descobrir que el grup d'espionatge cibernètic atacava organitzacions poloneses per distribuir una porta del darrere anomenada TinyTurla-NG (TTNG). El grup Turla és un adversari persistent amb una llarga trajectòria d'activitats. Els seus orígens, tàctiques i objectius indiquen una operació ben finançada amb operaris altament qualificats.
Vectors d'infecció per al lliurament de la porta posterior de LunarWeb
Actualment es desconeix el mètode precís que s'utilitza per infringir l'MFA, però se sospita que implica elements de pesca de pesca i l'explotació de programari Zabbix mal configurat. Es creu que l'etapa inicial de l'atac comença amb una versió compilada d'una pàgina web ASP.NET, que serveix com a conducte per descodificar dos blobs incrustats que contenen LunarLoader (un carregador) i la porta posterior de LunarWeb.
En aquest procés, quan s'accedeix a la pàgina, espera una contrasenya dins d'una galeta anomenada SMSKey. Si es proporciona, aquesta contrasenya s'utilitza per obtenir una clau criptogràfica per desxifrar càrregues útils posteriors. L'atacant probablement tenia un accés a la xarxa preexistent, va utilitzar credencials robades per al moviment lateral i va prendre accions deliberades per comprometre el servidor de manera discreta.
D'altra banda, LunarMail es difon a través d'un document maliciós de Microsoft Word enviat a través de correus electrònics de pesca llança, que inclou càrregues útils de LunarLoader i la porta posterior associada.
Com funcionen les portes posteriors LunarWeb i LunarMail un cop executades?
LunarWeb és capaç de recopilar informació del sistema i executar ordres incrustades als fitxers d'imatge JPG i GIF rebuts del servidor C&C. Els resultats es comprimeixen i es xifren abans de tornar-los a enviar. Per evitar la detecció, LunarWeb dissimula el seu trànsit de xarxa per semblar-se a activitats legítimes, com ara les actualitzacions de Windows.
Les instruccions C&C permeten que LunarWeb executi ordres de shell i PowerShell, executi codi Lua, manipuli fitxers i arxivi directoris especificats. Un altre implant, LunarMail, posseeix funcionalitats similars, però funciona de manera única integrant-se amb Outlook i comunicant-se amb el seu servidor C&C per correu electrònic, buscant missatges específics que contenen fitxers adjunts PNG.
Les ordres de LunarMail inclouen configurar un perfil d'Outlook per a C&C, llançar processos arbitraris i capturar captures de pantalla. La sortida d'aquestes accions s'amaga dins d'imatges PNG o documents PDF abans d'enviar-se com a fitxers adjunts de correu electrònic a una safata d'entrada controlada per l'atacant.
LunarMail està dissenyat per al desplegament en estacions de treball d'usuaris en lloc de servidors, i continua com a complement d'Outlook. Els seus mètodes operatius reflecteixen els de LightNeuron , una altra porta del darrere de Turla que utilitza missatges de correu electrònic per a comunicacions C&C.
