LunarWeb דלת אחורית
משרד החוץ האירופי (MFA) ושלושת הנציגויות הדיפלומטיות שלו במזרח התיכון נפגעו לאחרונה מדלת אחורית חדשה בשם LunarWeb, שלא תועדה קודם לכן. בנוסף, התוקפים השתמשו בכלי זדוני אחר, המכונה LunarMail. חוקרים מאמינים בביטחון בינוני כי מתקפת הסייבר הזו היא עבודתה של קבוצת ריגול הסייבר המיושרת לרוסיה, Turla, הידועה בכינויים שונים, כולל צייד הברזל, אורסה מהורהרת, סופת שלגים סודית, נחש, אורובורו ודב ארסי. הייחוס מבוסס על קווי דמיון בטקטיקות שנצפו בקמפיינים קודמים הקשורים לשחקן האיום הזה.
LunarWeb פועלת על שרתים המשתמשים ב-HTTP(S) לתקשורת ה-Command-and-Control (C&C) שלה, ומסווה את פעילותה כבקשות לגיטימיות. מצד שני, LunarMail, הפרוסה בתחנות עבודה, נשאר קבוע כתוסף של Outlook ומשתמש בהודעות דואר אלקטרוני לתקשורת C&C שלה. בדיקה של חפצי הירח מעלה שהם יכלו להיות מועסקים בהתקפות ממוקדות כבר בשנת 2020, או אולי אפילו מוקדם יותר.
תוכן העניינים
ה-Turla APT הוא שחקן איום מרכזי בזירת פשעי סייבר
Turla, המוערך כמזוהה עם שירות הביטחון הפדרלי של רוסיה (FSB), הוא איום מתמשך (APT) שידוע כפעיל מאז 1996 לפחות. יש לו רקורד של מיקוד במגוון תעשיות המשתרעות על ממשל, שגרירויות, צבא , מגזרי חינוך, מחקר ותרופות.
מוקדם יותר בשנת 2024, התגלתה קבוצת ריגול הסייבר תוקפת ארגונים פולניים כדי להפיץ דלת אחורית בשם TinyTurla-NG (TTNG). קבוצת טורלה היא יריב מתמשך עם היסטוריה ארוכה של פעילויות. המקורות, הטקטיקה והמטרות שלהם מעידים כולם על מבצע ממומן היטב עם פעילים מיומנים ביותר.
וקטורי זיהום עבור אספקת הדלת האחורית של LunarWeb
השיטה המדויקת ששימשה להפרת ה-MFA אינה ידועה כרגע, אך על פי החשד היא כרוכה באלמנטים של פישינג בחנית וניצול של תוכנת Zabbix שגויה. על פי ההערכות, השלב הראשוני של המתקפה מתחיל עם גרסה מהודרת של דף אינטרנט של ASP.NET, המשמשת כצינור לפענוח שני בלובים משובצים המכילים את LunarLoader (מטעין) ואת הדלת האחורית של LunarWeb.
בתהליך זה, כאשר הדף ניגשים, הוא מצפה לסיסמה בתוך קובץ Cookie בשם SMSKey. אם מסופקת, סיסמה זו משמשת להפקת מפתח קריפטוגרפי לפענוח מטענים עוקבים. לתוקף כנראה הייתה גישה קיימת לרשת, השתמש באישורים גנובים לתנועה לרוחב, ונקט בפעולות מכוונות כדי לסכן את השרת בדיסקרטיות.
מצד שני, LunarMail מופץ באמצעות מסמך זדוני של Microsoft Word שנשלח באמצעות דוא"ל דיוג חנית, הכולל מטענים של LunarLoader והדלת האחורית הקשורה אליו.
כיצד פועלות הדלתות האחוריות של LunarWeb ו-LunarMail לאחר ביצוע?
LunarWeb מסוגלת לאסוף מידע מערכת ולבצע פקודות המוטמעות בתוך קובצי תמונה JPG ו-GIF המתקבלים משרת C&C. התוצאות נדחסות ומוצפנות לפני שנשלחות חזרה החוצה. כדי להתחמק מזיהוי, LunarWeb מסווה את תעבורת הרשת שלה כדי להידמות לפעילויות לגיטימיות כגון עדכוני Windows.
הוראות ה-C&C מאפשרות ל-LunarWeb לבצע פקודות מעטפת ו-PowerShell, להריץ קוד Lua, לתפעל קבצים ולאחסן ספריות שצוינו בארכיון. שתל נוסף, LunarMail, בעל פונקציות דומות אך פועל באופן ייחודי על ידי שילוב עם Outlook ותקשורת עם שרת ה-C&C שלו באמצעות דואר אלקטרוני, סורק אחר הודעות ספציפיות המכילות קבצי PNG.
הפקודות של LunarMail כוללות הגדרת פרופיל Outlook עבור C&C, השקת תהליכים שרירותיים ולכידת צילומי מסך. פלט מפעולות אלה מוסתר בתוך תמונות PNG או מסמכי PDF לפני שנשלח כקבצים מצורפים לדואר אלקטרוני לתיבת דואר נכנס הנשלטת על ידי תוקף.
LunarMail מיועד לפריסה בתחנות עבודה של משתמשים ולא בשרתים, ונמשך כתוסף של Outlook. שיטות הפעולה שלו משקפות את אלה של LightNeuron , דלת אחורית נוספת של Turla שמשתמשת בהודעות דואר אלקטרוני עבור תקשורת C&C.
