LunarWeb Backdoor

وزارت امور خارجه اروپا (MFA) و سه نمایندگی دیپلماتیک آن در خاورمیانه اخیراً مورد حمله یک درب پشتی جدید به نام LunarWeb قرار گرفتند که قبلاً مستند نشده بود. علاوه بر این، مهاجمان از ابزار مخرب دیگری به نام LunarMail استفاده کردند. محققان با اطمینان متوسط معتقدند که این حمله سایبری کار گروه جاسوسی سایبری تورلا همسو با روسیه است که با نام‌های مستعار مختلفی از جمله شکارچی آهنی، خرس متفکر، بلیزارد مخفی، مار، اوروبوروس و خرس سمی شناخته می‌شود. این انتساب بر اساس شباهت‌های تاکتیک‌های مشاهده شده در کمپین‌های قبلی مرتبط با این عامل تهدید است.

LunarWeb روی سرورهایی با استفاده از HTTP(S) برای ارتباطات Command-and-Control (C&C) خود کار می کند و فعالیت خود را به عنوان درخواست های قانونی پنهان می کند. از سوی دیگر، LunarMail که در ایستگاه های کاری مستقر شده است، به عنوان یک افزونه Outlook باقی می ماند و از پیام های ایمیل برای ارتباطات C&C خود استفاده می کند. بررسی مصنوعات قمری نشان می دهد که آنها می توانستند در حملات هدفمند در اوایل سال 2020 یا احتمالاً حتی زودتر از آن استفاده شوند.

Turla APT یک بازیگر اصلی تهدید در صحنه جرایم سایبری است

تورلا که تخمین زده می‌شود وابسته به سرویس امنیت فدرال روسیه (FSB) باشد، یک تهدید دائمی پیشرفته (APT) است که حداقل از سال 1996 فعال شناخته شده است. سابقه هدف قرار دادن طیف وسیعی از صنایع شامل دولت، سفارت‌خانه‌ها، ارتش را دارد. بخش های آموزشی، تحقیقاتی و دارویی.

پیشتر در سال 2024، گروه جاسوسی سایبری کشف شد که به سازمان‌های لهستانی حمله می‌کردند تا یک درب پشتی به نام TinyTurla-NG (TTNG) را توزیع کنند. گروه تورلا یک دشمن دائمی با سابقه فعالیت طولانی است. منشاء، تاکتیک ها و اهداف آنها همگی حاکی از یک عملیات با بودجه خوب با عوامل بسیار ماهر است.

ناقلین عفونت برای تحویل درب پشتی LunarWeb

روش دقیق مورد استفاده برای نقض MFA در حال حاضر ناشناخته است، اما گمان می رود که شامل عناصر spear-phishing و بهره برداری از نرم افزار Zabbix با پیکربندی نادرست باشد. اعتقاد بر این است که مرحله اولیه حمله با یک نسخه کامپایل شده از یک صفحه وب ASP.NET آغاز می شود که به عنوان مجرای برای رمزگشایی دو حباب جاسازی شده حاوی LunarLoader (یک لودر) و درپشتی LunarWeb عمل می کند.

در این فرآیند، هنگامی که به صفحه دسترسی پیدا می شود، انتظار یک رمز عبور در یک کوکی به نام SMSKey را دارد. در صورت ارائه، این رمز عبور برای استخراج یک کلید رمزنگاری برای رمزگشایی بارهای بعدی استفاده می شود. مهاجم احتمالاً از قبل دسترسی به شبکه داشته است، از اعتبارنامه های سرقت شده برای حرکت جانبی استفاده کرده و اقدامات عمدی را برای به خطر انداختن سرور به طور محتاطانه انجام داده است.

از سوی دیگر، LunarMail از طریق یک سند مخرب مایکروسافت ورد که از طریق ایمیل‌های فیشینگ ارسال می‌شود، منتشر می‌شود که شامل بارهای LunarLoader و درب پشتی مرتبط است.

پس از اجرا چگونه دربهای پشتی LunarWeb و LunarMail کار می کنند؟

LunarWeb قادر به جمع آوری اطلاعات سیستم و اجرای دستورات تعبیه شده در فایل های تصویری JPG و GIF دریافتی از سرور C&C است. سپس نتایج قبل از ارسال مجدد فشرده و رمزگذاری می شوند. برای فرار از تشخیص، LunarWeb ترافیک شبکه خود را به گونه ای پنهان می کند که شبیه فعالیت های قانونی مانند به روز رسانی ویندوز باشد.

دستورالعمل‌های C&C LunarWeb را قادر می‌سازد تا دستورات شل و پاورشل را اجرا کند، کد Lua را اجرا کند، فایل‌ها را دستکاری کند و دایرکتوری‌های مشخص شده را بایگانی کند. ایمپلنت دیگری، LunarMail، دارای عملکردهای مشابهی است، اما با ادغام با Outlook و برقراری ارتباط با سرور C&C خود از طریق ایمیل، اسکن پیام‌های خاص حاوی پیوست‌های PNG، به طور منحصربه‌فرد عمل می‌کند.

دستورات LunarMail شامل پیکربندی نمایه Outlook برای C&C، راه‌اندازی فرآیندهای دلخواه، و گرفتن اسکرین شات است. خروجی این اقدامات قبل از ارسال به عنوان پیوست ایمیل به صندوق ورودی تحت کنترل مهاجم در تصاویر PNG یا اسناد PDF پنهان می شود.

LunarMail برای استقرار در ایستگاه های کاری کاربر به جای سرورها طراحی شده است و به عنوان یک افزونه Outlook باقی می ماند. روش‌های عملیاتی آن منعکس‌کننده روش‌های LightNeuron ، درپشتی دیگر Turla است که از پیام‌های ایمیل برای ارتباطات C&C استفاده می‌کند.