LunarWeb-takaovi
Euroopan ulkoministeriö (UM) ja sen kolme diplomaattista edustustoa Lähi-idässä joutuivat äskettäin uuteen LunarWebin takaoviin, jota ei ollut aiemmin dokumentoitu. Lisäksi hyökkääjät käyttivät toista haitallista työkalua, nimeltään LunarMail. Tutkijat uskovat keskinkertaisella varmuudella, että tämä kyberhyökkäys on Venäjä-linjaisen kybervakoiluryhmän Turlan työ, joka tunnetaan useilla aliaksilla, kuten Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos ja Venomous Bear. Attribuutio perustuu tähän uhkatekijään liittyvissä aikaisemmissa kampanjoissa havaittuihin taktiikoihin.
LunarWeb toimii palvelimilla, jotka käyttävät HTTP(S):tä Command-and-Control (C&C) -viestintään ja naamioivat toimintansa laillisiksi pyynnöiksi. Toisaalta LunarMail, joka on otettu käyttöön työasemilla, pysyy pysyvänä Outlook-apuohjelmana ja käyttää sähköpostiviestejä C&C-viestintään. Kuun esineiden tarkastelu viittaa siihen, että niitä olisi voitu käyttää kohdistetuissa hyökkäyksissä jo vuonna 2020 tai mahdollisesti jopa aikaisemmin.
Sisällysluettelo
Turla APT on suuri uhkatoimija tietoverkkorikospaikalla
Turla, jonka on arvioitu olevan sidoksissa Venäjän liittovaltion turvallisuuspalveluun (FSB), on kehittynyt jatkuva uhka (APT), jonka tiedetään olleen aktiivinen ainakin vuodesta 1996 lähtien. Sillä on kokemusta useiden alojen kohdistamisesta hallitukseen, suurlähetystöihin ja armeijaan. , koulutus-, tutkimus- ja lääkealalla.
Aiemmin vuonna 2024 kybervakoiluryhmä havaittiin hyökkäävän puolalaisia organisaatioita vastaan jakaakseen TinyTurla-NG (TTNG) -nimisen takaoven. Turla-ryhmä on pitkäjänteinen vastustaja, jolla on pitkä toimintahistoria. Niiden alkuperä, taktiikka ja tavoitteet viittaavat hyvin rahoitettuun operaatioon korkeasti koulutetuilla toimijoilla.
Infektiovektorit LunarWeb-takaoven toimittamiseen
Tarkkaa menetelmää MFA:n rikkomiseen ei tällä hetkellä tunneta, mutta sen epäillään sisältävän keihään kalastelua ja väärin konfiguroitujen Zabbix-ohjelmistojen hyväksikäyttöä. Hyökkäyksen alkuvaiheen uskotaan alkavan ASP.NET-verkkosivun käännetyllä versiolla, joka toimii kanavana kahden sulautetun blobin purkamiseen, jotka sisältävät LunarLoaderin (lataimen) ja LunarWeb-takaoven.
Tässä prosessissa, kun sivua avataan, se odottaa salasanan evästeessä nimeltä SMSKey. Jos salasana on annettu, sitä käytetään salausavaimen johtamiseen myöhempien hyötykuormien salauksen purkamiseen. Hyökkääjällä oli todennäköisesti aiempi verkkoyhteys, hän käytti varastettuja tunnistetietoja sivuttain liikkumiseen ja ryhtyi tahallisiin toimiin palvelimen vaarantamiseksi huomaamattomasti.
Toisaalta LunarMail levitetään haitallisen Microsoft Word -asiakirjan kautta, joka lähetetään keihään kalasteluviestien kautta, joka sisältää paljon LunarLoaderia ja siihen liittyvää takaovia.
Kuinka LunarWeb- ja LunarMail-takaovet toimivat suoritettuaan?
LunarWeb pystyy keräämään järjestelmätietoja ja suorittamaan komentoja, jotka on upotettu C&C-palvelimelta vastaanotettuihin JPG- ja GIF-kuvatiedostoihin. Tulokset pakataan ja salataan ennen kuin ne lähetetään takaisin. Välttääkseen havaitsemisen LunarWeb naamioi verkkoliikennensä muistuttamaan laillisia toimintoja, kuten Windows-päivityksiä.
C&C-ohjeiden avulla LunarWeb voi suorittaa shell- ja PowerShell-komentoja, suorittaa Lua-koodia, käsitellä tiedostoja ja arkistoida määritettyjä hakemistoja. Toisella implantilla, LunarMaililla, on samanlaiset toiminnot, mutta se toimii ainutlaatuisesti integroitumalla Outlookiin ja kommunikoimalla sen C&C-palvelimen kanssa sähköpostitse ja etsii tiettyjä PNG-liitteitä sisältäviä viestejä.
LunarMailin komentoihin kuuluu Outlook-profiilin määrittäminen C&C:lle, mielivaltaisten prosessien käynnistäminen ja kuvakaappausten ottaminen. Näiden toimien tuloste piilotetaan PNG-kuviin tai PDF-dokumentteihin, ennen kuin ne lähetetään sähköpostin liitteinä hyökkääjän hallitsemaan postilaatikkoon.
LunarMail on suunniteltu asennettavaksi käyttäjien työasemille palvelimien sijaan, ja se pysyy Outlook-apuohjelmana. Sen toimintatavat heijastavat LightNeuronin , toisen Turlan takaoven, joka käyttää sähköpostiviestejä C&C-viestintään.
