Zadní vrátka LunarWeb
Evropské ministerstvo zahraničních věcí (MZV) a jeho tři diplomatické mise na Blízkém východě nedávno zasáhla nová zadní vrátka nazvaná LunarWeb, která dosud nebyla zdokumentována. Útočníci navíc použili další škodlivý nástroj nazvaný LunarMail. Výzkumníci se střední jistotou věří, že tento kybernetický útok je dílem ruské kyberšpionážní skupiny Turla, známé pod různými přezdívkami, včetně Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos a Venomous Bear. Atribuce je založena na podobnostech v taktice pozorovaných v předchozích kampaních spojených s tímto aktérem hrozby.
LunarWeb funguje na serverech využívajících HTTP(S) pro komunikaci Command-and-Control (C&C) a svou činnost maskuje jako legitimní požadavky. Na druhou stranu LunarMail, nasazený na pracovních stanicích, zůstává perzistentní jako doplněk Outlooku a využívá e-mailové zprávy pro svou C&C komunikaci. Zkoumání lunárních artefaktů naznačuje, že mohly být použity v cílených útocích již v roce 2020 nebo možná ještě dříve.
Obsah
Turla APT je hlavní hrozbou na scéně počítačové kriminality
Turla, o níž bylo zjištěno, že je přidružena k ruské Federální bezpečnostní službě (FSB), je pokročilá perzistentní hrozba (APT), o které je známo, že je aktivní minimálně od roku 1996. Má zkušenosti s cílením na řadu průmyslových odvětví zahrnujících vládu, velvyslanectví a armádu. , vzdělávání, výzkum a farmaceutický sektor.
Dříve v roce 2024 byla objevena kybernetická špionážní skupina, která útočí na polské organizace, aby distribuovala zadní vrátka s názvem TinyTurla-NG (TTNG). Skupina Turla je vytrvalým protivníkem s dlouhou historií aktivit. Jejich původ, taktika a cíle naznačují dobře financovanou operaci s vysoce kvalifikovanými agenty.
Infekční vektory pro dodání zadních vrátek LunarWeb
Přesná metoda použitá k porušení MFA je v současné době neznámá, ale existuje podezření, že zahrnuje prvky spear-phishingu a zneužití špatně nakonfigurovaného softwaru Zabbix. Předpokládá se, že počáteční fáze útoku začíná zkompilovanou verzí webové stránky ASP.NET, která slouží jako kanál pro dekódování dvou vložených objektů BLOB obsahujících LunarLoader (zavaděč) a zadní vrátka LunarWeb.
V tomto procesu při přístupu na stránku očekává heslo v souboru cookie s názvem SMSKey. Pokud je zadáno, toto heslo se používá k odvození kryptografického klíče pro dešifrování následných dat. Útočník měl pravděpodobně již existující přístup k síti, využil odcizené přihlašovací údaje k bočnímu pohybu a podnikl úmyslné kroky k diskrétnímu kompromitování serveru.
Na druhou stranu je LunarMail šířen prostřednictvím škodlivého dokumentu Microsoft Word zaslaného prostřednictvím e-mailů typu spear-phishing, který zahrnuje užitečné zatížení LunarLoader a související zadní vrátka.
Jak fungují zadní vrátka LunarWeb a LunarMail po spuštění?
LunarWeb je schopen shromažďovat systémové informace a provádět příkazy vložené do obrazových souborů JPG a GIF přijatých ze serveru C&C. Výsledky jsou poté zkomprimovány a zašifrovány před odesláním zpět. Aby se vyhnul detekci, LunarWeb maskuje svůj síťový provoz tak, aby připomínal legitimní aktivity, jako jsou aktualizace Windows.
Pokyny C&C umožňují LunarWebu spouštět příkazy shellu a PowerShellu, spouštět kód Lua, manipulovat se soubory a archivovat určené adresáře. Další implantát, LunarMail, má podobné funkce, ale funguje jedinečně tím, že se integruje s aplikací Outlook a komunikuje se svým C&C serverem prostřednictvím e-mailu, přičemž vyhledává konkrétní zprávy obsahující přílohy PNG.
Příkazy LunarMailu zahrnují konfiguraci profilu aplikace Outlook pro C&C, spouštění libovolných procesů a pořizování snímků obrazovky. Výstup z těchto akcí je skryt v obrázcích PNG nebo dokumentech PDF před odesláním jako přílohy e-mailu do útočníkem kontrolované schránky.
LunarMail je navržen pro nasazení na uživatelských pracovních stanicích spíše než na serverech a zůstává jako doplněk aplikace Outlook. Jeho provozní metody odrážejí metody LightNeuron , další zadní vrátka Turla, která využívá e-mailové zprávy pro komunikaci C&C.
