LunarWeb Backdoor
Ένα Ευρωπαϊκό Υπουργείο Εξωτερικών (MFA) και οι τρεις διπλωματικές του αποστολές στη Μέση Ανατολή χτυπήθηκαν πρόσφατα από μια νέα κερκόπορτα που ονομάζεται LunarWeb, η οποία δεν είχε τεκμηριωθεί πριν. Επιπλέον, οι εισβολείς χρησιμοποίησαν ένα άλλο κακόβουλο εργαλείο, το LunarMail. Οι ερευνητές πιστεύουν με μέτρια σιγουριά ότι αυτή η κυβερνοεπίθεση είναι έργο της ομάδας κυβερνοκατασκοπείας Turla, που είναι ευθυγραμμισμένη με τη Ρωσία, γνωστή με διάφορα ψευδώνυμα, όπως Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos και Venomous Bear. Η απόδοση βασίζεται σε ομοιότητες στις τακτικές που παρατηρήθηκαν σε προηγούμενες καμπάνιες που σχετίζονται με αυτόν τον παράγοντα απειλής.
Το LunarWeb λειτουργεί σε διακομιστές που χρησιμοποιούν HTTP(S) για τις επικοινωνίες Command-and-Control (C&C), συγκαλύπτοντας τη δραστηριότητά του ως νόμιμα αιτήματα. Από την άλλη πλευρά, το LunarMail, που αναπτύσσεται σε σταθμούς εργασίας, παραμένει μόνιμο ως πρόσθετο του Outlook και χρησιμοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου για τις επικοινωνίες C&C. Μια εξέταση των τεχνουργημάτων της Σελήνης υποδηλώνει ότι θα μπορούσαν να είχαν χρησιμοποιηθεί σε στοχευμένες επιθέσεις ήδη από το 2020, ή πιθανώς και νωρίτερα.
Πίνακας περιεχομένων
Το Turla APT είναι ένας ηθοποιός μείζονος απειλής στη σκηνή του εγκλήματος στον κυβερνοχώρο
Το Turla, που εκτιμάται ότι συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB), είναι μια προηγμένη επίμονη απειλή (APT) που είναι γνωστό ότι είναι ενεργή τουλάχιστον από το 1996. Έχει ιστορικό στόχευσης μιας σειράς βιομηχανιών που εκτείνονται σε κυβέρνηση, πρεσβείες και στρατιωτικούς , στους τομείς της εκπαίδευσης, της έρευνας και της φαρμακευτικής.
Νωρίτερα το 2024, η ομάδα κυβερνοκατασκοπείας ανακαλύφθηκε να επιτίθεται σε πολωνικές οργανώσεις για να διανείμει μια κερκόπορτα με το όνομα TinyTurla-NG (TTNG). Ο όμιλος Turla είναι ένας επίμονος αντίπαλος με μακρά ιστορία δραστηριοτήτων. Η προέλευσή τους, οι τακτικές και οι στόχοι τους υποδεικνύουν όλα μια καλά χρηματοδοτούμενη επιχείρηση με υψηλά καταρτισμένους χειριστές.
Φορείς μόλυνσης για την παράδοση του LunarWeb Backdoor
Η ακριβής μέθοδος που χρησιμοποιείται για την παραβίαση του MFA είναι προς το παρόν άγνωστη, αλλά υπάρχει υποψία ότι περιλαμβάνει στοιχεία spear-phishing και εκμετάλλευση του εσφαλμένου λογισμικού Zabbix. Το αρχικό στάδιο της επίθεσης πιστεύεται ότι ξεκινά με μια μεταγλωττισμένη έκδοση μιας ιστοσελίδας ASP.NET, η οποία χρησιμεύει ως αγωγός για την αποκωδικοποίηση δύο ενσωματωμένων blobs που περιέχουν το LunarLoader (ένας φορτωτής) και την κερκόπορτα LunarWeb.
Σε αυτή τη διαδικασία, όταν γίνεται πρόσβαση στη σελίδα, αναμένει έναν κωδικό πρόσβασης μέσα σε ένα cookie με το όνομα SMSKey. Εάν παρέχεται, αυτός ο κωδικός πρόσβασης χρησιμοποιείται για την παραγωγή ενός κρυπτογραφικού κλειδιού για την αποκρυπτογράφηση των επόμενων ωφέλιμων φορτίων. Ο εισβολέας πιθανότατα είχε προϋπάρχουσα πρόσβαση στο δίκτυο, χρησιμοποίησε κλεμμένα διαπιστευτήρια για πλευρική κίνηση και προέβη σε σκόπιμες ενέργειες για να θέσει σε κίνδυνο τον διακομιστή διακριτικά.
Από την άλλη πλευρά, το LunarMail διαδίδεται μέσω ενός κακόβουλου εγγράφου του Microsoft Word που αποστέλλεται μέσω emails spear-phishing, το οποίο περιλαμβάνει ωφέλιμα φορτία του LunarLoader και τη σχετική κερκόπορτα.
Πώς λειτουργούν τα Backdoors LunarWeb και LunarMail μετά την εκτέλεση;
Το LunarWeb είναι σε θέση να συλλέγει πληροφορίες συστήματος και να εκτελεί εντολές που είναι ενσωματωμένες σε αρχεία εικόνας JPG και GIF που λαμβάνονται από τον διακομιστή C&C. Τα αποτελέσματα στη συνέχεια συμπιέζονται και κρυπτογραφούνται πριν σταλούν πίσω. Για να αποφύγει τον εντοπισμό, το LunarWeb συγκαλύπτει την κυκλοφορία του δικτύου του ώστε να μοιάζει με νόμιμες δραστηριότητες όπως οι ενημερώσεις των Windows.
Οι οδηγίες C&C επιτρέπουν στο LunarWeb να εκτελεί εντολές φλοιού και PowerShell, να εκτελεί κώδικα Lua, να χειρίζεται αρχεία και να αρχειοθετεί καθορισμένους καταλόγους. Ένα άλλο εμφύτευμα, το LunarMail, διαθέτει παρόμοιες λειτουργίες, αλλά λειτουργεί μοναδικά ενσωματώνοντας το Outlook και επικοινωνώντας με τον διακομιστή C&C μέσω email, σαρώνοντας συγκεκριμένα μηνύματα που περιέχουν συνημμένα PNG.
Οι εντολές του LunarMail περιλαμβάνουν τη διαμόρφωση ενός προφίλ Outlook για C&C, την εκκίνηση αυθαίρετων διαδικασιών και τη λήψη στιγμιότυπων οθόνης. Τα αποτελέσματα από αυτές τις ενέργειες κρύβονται σε εικόνες PNG ή έγγραφα PDF πριν σταλούν ως συνημμένα email σε εισερχόμενα που ελέγχονται από τους εισβολείς.
Το LunarMail έχει σχεδιαστεί για ανάπτυξη σε σταθμούς εργασίας χρήστη και όχι σε διακομιστές, και παραμένει ως πρόσθετο του Outlook. Οι λειτουργικές του μέθοδοι αντικατοπτρίζουν αυτές του LightNeuron , μιας άλλης κερκόπορτας Turla που χρησιμοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου για επικοινωνίες C&C.
