LunarWeb stražnja vrata
Europsko ministarstvo vanjskih poslova (MFA) i njegova tri diplomatska predstavništva na Bliskom istoku nedavno su bili pogođeni novim backdoorom pod nazivom LunarWeb, koji prije nije bio dokumentiran. Dodatno, napadači su koristili još jedan zlonamjerni alat, nazvan LunarMail. Istraživači sa srednjom pouzdanošću vjeruju da je ovaj kibernetički napad djelo kibernetičke špijunaže Turla povezane s Rusijom, poznate pod raznim aliasima, uključujući Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos i Venomous Bear. Pripisivanje se temelji na sličnostima u taktikama uočenim u prethodnim kampanjama povezanim s ovim akterom prijetnje.
LunarWeb radi na poslužiteljima koristeći HTTP(S) za svoje komandno-kontrolne (C&C) komunikacije, prikrivajući svoje aktivnosti kao legitimne zahtjeve. S druge strane, LunarMail, postavljen na radnim stanicama, ostaje postojan kao Outlook dodatak i koristi poruke e-pošte za svoju C&C komunikaciju. Ispitivanje lunarnih artefakata sugerira da su mogli biti korišteni u ciljanim napadima već 2020. godine, a možda i ranije.
Sadržaj
Turla APT glavna je prijetnja na sceni kibernetičkog kriminala
Turla, za koju se procjenjuje da je povezana s ruskom Federalnom sigurnosnom službom (FSB), napredna je trajna prijetnja (APT) za koju se zna da je aktivna najmanje od 1996. Ima evidenciju napada na niz industrija koje obuhvaćaju vladu, veleposlanstva, vojsku , obrazovni, istraživački i farmaceutski sektor.
Ranije 2024. otkrivena je skupina za kibernetičku špijunažu kako napada poljske organizacije kako bi distribuirala backdoor pod nazivom TinyTurla-NG (TTNG). Grupa Turla uporan je protivnik s dugom poviješću djelovanja. Njihovo podrijetlo, taktika i ciljevi ukazuju na dobro financiranu operaciju s visoko vještim operativcima.
Vektori infekcije za isporuku stražnjih vrata LunarWeb
Točna metoda korištena za kršenje MFA trenutno je nepoznata, ali se sumnja da uključuje elemente spear-phishinga i iskorištavanje pogrešno konfiguriranog Zabbix softvera. Vjeruje se da početna faza napada započinje kompajliranom verzijom ASP.NET web-stranice, koja služi kao kanal za dekodiranje dva ugrađena blob-a koji sadrže LunarLoader (učitavač) i LunarWeb backdoor.
U ovom procesu, kada se pristupi stranici, ona očekuje lozinku unutar kolačića pod nazivom SMSKey. Ako je navedena, ova se lozinka koristi za izvođenje kriptografskog ključa za dešifriranje sljedećih korisnih podataka. Napadač je vjerojatno već imao pristup mreži, koristio se ukradenim vjerodajnicama za bočno kretanje i poduzeo namjerne radnje kako bi diskretno kompromitirao poslužitelj.
S druge strane, LunarMail se širi putem zlonamjernog Microsoft Word dokumenta koji se šalje putem phishing e-pošte, što uključuje korisni sadržaj LunarLoadera i pridruženog backdoor-a.
Kako lunarWeb i LunarMail backdoors funkcioniraju nakon što se izvrše?
LunarWeb je sposoban prikupljati informacije o sustavu i izvršavati naredbe ugrađene u JPG i GIF slikovne datoteke primljene od C&C poslužitelja. Rezultati se zatim komprimiraju i šifriraju prije nego što se pošalju natrag. Kako bi izbjegao otkrivanje, LunarWeb prikriva svoj mrežni promet kako bi sličio legitimnim aktivnostima poput ažuriranja sustava Windows.
C&C upute omogućuju LunarWebu izvršavanje shell i PowerShell naredbi, pokretanje Lua koda, manipuliranje datotekama i arhiviranje navedenih direktorija. Još jedan implantat, LunarMail, posjeduje slične funkcije, ali radi jedinstveno integrirajući se s Outlookom i komunicirajući s njegovim C&C poslužiteljem putem e-pošte, skenirajući određene poruke koje sadrže PNG privitke.
Naredbe LunarMaila uključuju konfiguriranje Outlook profila za C&C, pokretanje proizvoljnih procesa i snimanje snimki zaslona. Izlaz iz ovih radnji skriven je unutar PNG slika ili PDF dokumenata prije nego što se pošalje kao privitak e-pošte u ulaznu poštu kojom upravlja napadač.
LunarMail je dizajniran za implementaciju na korisničkim radnim stanicama, a ne na poslužiteljima, postojano kao dodatak za Outlook. Njegove operativne metode odražavaju one LightNeurona , još jednog Turla backdoora koji koristi poruke e-pošte za C&C komunikaciju.
