LunarWebi tagauks
Euroopa välisministeeriumi (MFA) ja selle kolme diplomaatilist esindust Lähis-Idas tabas hiljuti uus tagauks nimega LunarWeb, mida polnud varem dokumenteeritud. Lisaks kasutasid ründajad teist pahatahtlikku tööriista, nimega LunarMail. Teadlased usuvad keskmise kindlusega, et see küberrünnak on Venemaaga seotud küberspionaažirühma Turla töö, mida tuntakse erinevate varjunimede, sealhulgas Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos ja Venomous Bear all. Omistamine põhineb taktikate sarnasustel, mida täheldati eelmistes kampaaniates, mis on seotud selle ohuteguriga.
LunarWeb töötab serverites, mis kasutavad oma Command-and-Control (C&C) suhtluseks HTTP(S), varjates oma tegevust seaduslike taotlustena. Teisest küljest jääb tööjaamadesse juurutatud LunarMail Outlooki lisandmoodulina püsivaks ja kasutab oma C&C suhtluseks meilisõnumeid. Kuu esemete uurimine viitab sellele, et neid võidi sihitud rünnakutes kasutada juba 2020. aastal või võib-olla isegi varem.
Sisukord
Turla APT on küberkuritegevuse stseeni peamine ohunäitleja
Turla, mis arvatakse olevat seotud Venemaa Föderaalse Julgeolekuteenistusega (FSB), on arenenud püsiv oht (APT), mis on teadaolevalt tegutsenud vähemalt 1996. aastast. See on sihikule võtnud mitmesuguseid tööstusharusid, mis hõlmavad valitsust, saatkondi ja sõjaväge. , haridus-, teadus- ja farmaatsiasektorid.
2024. aasta alguses avastati küberspionaažirühmitus, kes ründas Poola organisatsioone, et levitada TinyTurla-NG (TTNG) nimelist tagaust. Turla rühmitus on pika tegevusajalooga visa vastane. Nende päritolu, taktika ja eesmärgid viitavad hästi rahastatud operatsioonile kõrgelt kvalifitseeritud töötajatega.
Nakkusvektorid LunarWebi tagaukse kohaletoimetamiseks
Täpne meetod, mida MFA rikkumiseks kasutati, ei ole praegu teada, kuid kahtlustatakse, et see hõlmab andmepüügi elemente ja valesti konfigureeritud Zabbixi tarkvara ärakasutamist. Arvatakse, et ründe algetapp algab ASP.NET-i veebilehe kompileeritud versiooniga, mis toimib kanalina kahe LunarLoaderit (laadurit) ja LunarWebi tagaust sisaldava manustatud blobi dekodeerimiseks.
Selle protsessi käigus ootab see lehele sisenemisel parooli SMSKey-nimelise küpsise sees. Kui see on antud, kasutatakse seda parooli krüptovõtme tuletamiseks järgnevate kasulike koormuste dekrüpteerimiseks. Tõenäoliselt oli ründajal juba varasem juurdepääs võrgule, ta kasutas külgsuunas liikumiseks varastatud mandaate ja tegi tahtlikke samme serveri diskreetseks ohustamiseks.
Teisest küljest levitatakse LunarMaili pahatahtliku Microsoft Wordi dokumendi kaudu, mis saadetakse andmepüügimeilide kaudu, mis sisaldab LunarLoaderi ja sellega seotud tagaukse kasulikke koormusi.
Kuidas LunarWebi ja LunarMaili tagauksed pärast käivitamist töötavad?
LunarWeb on võimeline koguma süsteemiteavet ja täitma käske, mis on manustatud C&C serverist saadud JPG- ja GIF-pildifailidesse. Tulemused tihendatakse ja krüpteeritakse enne tagasisaatmist. Tuvastamisest kõrvalehoidmiseks maskeerib LunarWeb oma võrguliikluse seaduslike tegevuste, näiteks Windowsi värskenduste sarnaseks.
C&C juhised võimaldavad LunarWebil täita shell- ja PowerShelli käske, käitada Lua koodi, manipuleerida failidega ja arhiveerida määratud katalooge. Teisel implantaadil LunarMail on sarnased funktsioonid, kuid see toimib ainulaadselt, integreerides Outlookiga ja suhtledes selle C&C-serveriga e-posti teel, otsides konkreetseid PNG-manuseid sisaldavaid sõnumeid.
LunarMaili käsud hõlmavad Outlooki profiili konfigureerimist C&C jaoks, suvaliste protsesside käivitamist ja ekraanipiltide jäädvustamist. Nende toimingute väljund peidetakse PNG-kujutistesse või PDF-dokumentidesse, enne kui see saadetakse meilimanustena ründaja juhitavasse postkasti.
LunarMail on mõeldud juurutamiseks kasutajate tööjaamades, mitte serverites, püsides Outlooki lisandmoodulina. Selle töömeetodid peegeldavad LightNeuroni , teise Turla tagaukse töömeetodeid, mis kasutab C&C suhtluseks meilisõnumeid.
