लूनरवेब बैकडोर
यूरोपीय विदेश मंत्रालय (MFA) और मध्य पूर्व में इसके तीन राजनयिक मिशन हाल ही में लूनरवेब नामक एक नए बैकडोर से प्रभावित हुए, जिसका पहले कोई दस्तावेजीकरण नहीं किया गया था। इसके अतिरिक्त, हमलावरों ने लूनरमेल नामक एक अन्य दुर्भावनापूर्ण उपकरण का उपयोग किया। शोधकर्ताओं का मानना है कि यह साइबर हमला रूस से जुड़े साइबर जासूसी समूह टुर्ला का काम है, जिसे आयरन हंटर, पेन्सिव उर्सा, सीक्रेट ब्लिज़र्ड, स्नेक, यूरोबुरोस और वेनोमस बियर सहित विभिन्न उपनामों से जाना जाता है। यह आरोप इस खतरे वाले अभिनेता से जुड़े पिछले अभियानों में देखी गई रणनीति में समानता पर आधारित है।
लूनरवेब अपने कमांड-एंड-कंट्रोल (C&C) संचार के लिए HTTP(S) का उपयोग करने वाले सर्वर पर काम करता है, जो अपनी गतिविधि को वैध अनुरोधों के रूप में छिपाता है। दूसरी ओर, वर्कस्टेशन पर तैनात लूनरमेल, आउटलुक ऐड-इन के रूप में लगातार बना रहता है और अपने C&C संचार के लिए ईमेल संदेशों का उपयोग करता है। लूनर आर्टिफैक्ट्स की जांच से पता चलता है कि उन्हें 2020 की शुरुआत में या संभवतः उससे भी पहले लक्षित हमलों में नियोजित किया जा सकता था।
विषयसूची
साइबर अपराध परिदृश्य में टुर्ला एपीटी एक प्रमुख खतरा अभिनेता है
रूस की संघीय सुरक्षा सेवा (FSB) से संबद्ध माना जाने वाला तुर्ला एक उन्नत सतत खतरा (APT) है, जो कम से कम 1996 से सक्रिय माना जाता है। सरकार, दूतावासों, सेना, शिक्षा, अनुसंधान और दवा क्षेत्रों में फैले विभिन्न उद्योगों को निशाना बनाने का इसका ट्रैक रिकॉर्ड है।
इससे पहले 2024 में, साइबर जासूसी समूह को टिनीटर्ला-एनजी (टीटीएनजी) नामक एक बैकडोर वितरित करने के लिए पोलिश संगठनों पर हमला करते हुए पाया गया था। टर्ला समूह एक लगातार विरोधी है जिसकी गतिविधियों का एक लंबा इतिहास है। उनकी उत्पत्ति, रणनीति और लक्ष्य सभी अत्यधिक कुशल ऑपरेटिव के साथ एक अच्छी तरह से वित्त पोषित ऑपरेशन का संकेत देते हैं।
लूनरवेब बैकडोर की डिलीवरी के लिए संक्रमण वेक्टर
एमएफए को भंग करने के लिए इस्तेमाल की जाने वाली सटीक विधि वर्तमान में अज्ञात है, लेकिन इसमें स्पीयर-फ़िशिंग और गलत तरीके से कॉन्फ़िगर किए गए ज़ैबिक्स सॉफ़्टवेयर के शोषण के तत्व शामिल होने का संदेह है। माना जाता है कि हमले का प्रारंभिक चरण ASP.NET वेब पेज के संकलित संस्करण से शुरू होता है, जो लूनरलोडर (एक लोडर) और लूनरवेब बैकडोर वाले दो एम्बेडेड ब्लॉब्स को डिकोड करने के लिए एक माध्यम के रूप में काम करता है।
इस प्रक्रिया में, जब पृष्ठ तक पहुँचा जाता है, तो यह SMSKey नामक कुकी के भीतर एक पासवर्ड की अपेक्षा करता है। यदि प्रदान किया जाता है, तो इस पासवर्ड का उपयोग बाद के पेलोड को डिक्रिप्ट करने के लिए एक क्रिप्टोग्राफ़िक कुंजी प्राप्त करने के लिए किया जाता है। हमलावर के पास संभवतः पहले से ही नेटवर्क एक्सेस था, उसने पार्श्व आंदोलन के लिए चोरी किए गए क्रेडेंशियल्स का उपयोग किया, और सर्वर से समझौता करने के लिए जानबूझकर कार्रवाई की।
दूसरी ओर, लूनरमेल को स्पीयर-फिशिंग ईमेल के माध्यम से भेजे गए दुर्भावनापूर्ण माइक्रोसॉफ्ट वर्ड दस्तावेज़ के माध्यम से प्रसारित किया जाता है, जिसमें लूनरलोडर और संबंधित बैकडोर के पेलोड शामिल होते हैं।
एक बार क्रियान्वित होने के बाद लूनरवेब और लूनरमेल बैकडोर कैसे काम करते हैं?
लूनरवेब सिस्टम जानकारी एकत्र करने और C&C सर्वर से प्राप्त JPG और GIF छवि फ़ाइलों में एम्बेडेड कमांड निष्पादित करने में सक्षम है। फिर परिणामों को वापस भेजने से पहले संपीड़ित और एन्क्रिप्ट किया जाता है। पता लगाने से बचने के लिए, लूनरवेब अपने नेटवर्क ट्रैफ़िक को विंडोज अपडेट जैसी वैध गतिविधियों के समान बनाता है।
C&C निर्देश लूनरवेब को शेल और पॉवरशेल कमांड निष्पादित करने, लुआ कोड चलाने, फ़ाइलों में हेरफेर करने और निर्दिष्ट निर्देशिकाओं को संग्रहीत करने में सक्षम बनाते हैं। एक अन्य इम्प्लांट, लूनरमेल, में समान कार्यक्षमताएं हैं, लेकिन आउटलुक के साथ एकीकृत करके और ईमेल के माध्यम से अपने C&C सर्वर के साथ संचार करके, PNG अनुलग्नकों वाले विशिष्ट संदेशों को स्कैन करके अद्वितीय रूप से संचालित होता है।
लूनरमेल के कमांड में C&C के लिए आउटलुक प्रोफ़ाइल कॉन्फ़िगर करना, मनमाने तरीके से प्रक्रियाएँ शुरू करना और स्क्रीनशॉट कैप्चर करना शामिल है। इन क्रियाओं से प्राप्त आउटपुट को हमलावर द्वारा नियंत्रित इनबॉक्स में ईमेल अटैचमेंट के रूप में भेजे जाने से पहले PNG इमेज या PDF दस्तावेज़ों में छिपा दिया जाता है।
लूनरमेल को सर्वर के बजाय उपयोगकर्ता वर्कस्टेशन पर तैनाती के लिए डिज़ाइन किया गया है, जो आउटलुक ऐड-इन के रूप में बना रहता है। इसके संचालन के तरीके लाइटन्यूरॉन के समान हैं, जो एक और टर्ला बैकडोर है जो सी एंड सी संचार के लिए ईमेल संदेशों का उपयोग करता है।
