LunarWeb hátsó ajtó

Egy Európai Külügyminisztériumot (KKM) és három közel-keleti diplomáciai képviseletét a közelmúltban érte a LunarWeb nevű, korábban nem dokumentált új háttérajtó. Ezenkívül a támadók egy másik rosszindulatú eszközt is használtak, a LunarMail nevet. A kutatók közepes biztonsággal úgy vélik, hogy ez a kibertámadás az Oroszországhoz kötődő Turla kiberkémcsoport munkája, amelyet különféle álnevekkel ismernek, köztük az Iron Huntert, a Pensive Ursát, a Secret Blizzardot, a Snake-t, az Uroburost és a Venomous Beart. Az attribúció az ezzel a fenyegető szereplővel kapcsolatos korábbi kampányokban megfigyelt taktikai hasonlóságokon alapul.

A LunarWeb olyan szervereken működik, amelyek HTTP(S)-t használnak a Command-and-Control (C&C) kommunikációjához, tevékenységét legitim kéréseknek álcázva. Másrészt a munkaállomásokon telepített LunarMail továbbra is kitartó Outlook-bővítményként működik, és e-mail üzeneteket használ a C&C kommunikációhoz. A holdi leletek vizsgálata arra utal, hogy célzott támadásokban alkalmazhatták őket már 2020-ban, vagy esetleg még korábban.

A Turla APT a kiberbűnözés főszereplője

A Turla, amely kapcsolatban áll az orosz Szövetségi Biztonsági Szolgálattal (FSB), egy fejlett, tartós fenyegetés (APT), amelyről ismert, hogy legalább 1996 óta aktív. Számos iparágat céloz meg, beleértve a kormányt, a nagykövetségeket és a hadsereget. , oktatási, kutatási és gyógyszeripari ágazatokban.

2024 elején fedezték fel, hogy a kiberkémkedési csoport lengyel szervezeteket támadott meg, hogy egy TinyTurla-NG (TTNG) nevű hátsó ajtót terjeszthessen. A Turla csoport kitartó ellenfél, hosszú tevékenységi múlttal. Eredetük, taktikájuk és célpontjaik jól finanszírozott, magasan képzett munkatársakkal rendelkező műveletet jeleznek.

Fertőzési vektorok a LunarWeb Backdoor kézbesítéséhez

Az MFA megsértésére használt pontos módszer jelenleg nem ismert, de feltételezhető, hogy adathalászat és a rosszul konfigurált Zabbix szoftverek kihasználása elemei vannak. A támadás kezdeti szakasza vélhetően egy ASP.NET weboldal lefordított verziójával kezdődik, amely csatornaként szolgál a LunarLoader-t (egy betöltőt) és a LunarWeb hátsó ajtót tartalmazó két beágyazott blob dekódolásához.

Ebben a folyamatban az oldal elérésekor jelszót vár az SMSKey nevű cookie-n belül. Ha van megadva, ez a jelszó egy kriptográfiai kulcs származtatására szolgál a következő hasznos adatok visszafejtéséhez. A támadó valószínűleg már korábban is rendelkezett hálózati hozzáféréssel, lopott hitelesítő adatokat használt fel az oldalirányú mozgáshoz, és szándékos lépéseket tett a szerver diszkrét kompromittálására.

Másrészt a LunarMail egy rosszindulatú Microsoft Word dokumentumon keresztül terjeszthető, amelyet adathalász e-maileken keresztül küldenek, és amely tartalmazza a LunarLoader és a kapcsolódó hátsó ajtó rakományait.

Hogyan működik a LunarWeb és a LunarMail Backdoors a végrehajtás után?

A LunarWeb képes összegyűjteni a rendszerinformációkat és végrehajtani a C&C szervertől kapott JPG és GIF képfájlokba ágyazott parancsokat. Az eredményeket ezután tömörítik és titkosítják, mielőtt visszaküldik őket. Az észlelés elkerülése érdekében a LunarWeb úgy álcázza hálózati forgalmát, hogy olyan legitim tevékenységekhez hasonlítson, mint például a Windows frissítései.

A C&C utasítások lehetővé teszik a LunarWeb számára, hogy shell- és PowerShell-parancsokat hajtson végre, Lua-kódot futtasson, fájlokat kezeljen, és archiválja a megadott könyvtárakat. Egy másik implantátum, a LunarMail hasonló funkciókkal rendelkezik, de egyedülállóan működik, mivel integrálja az Outlookot, és e-mailben kommunikál a C&C szerverével, és keresi a PNG-mellékleteket tartalmazó üzeneteket.

A LunarMail parancsai közé tartozik az Outlook-profil konfigurálása a C&C-hez, tetszőleges folyamatok elindítása és képernyőképek rögzítése. Az ilyen műveletek kimenete el van rejtve a PNG-képekben vagy PDF-dokumentumokban, mielőtt e-mail mellékletként elküldené a támadó által vezérelt beérkező levelek mappába.

A LunarMail a kiszolgálók helyett a felhasználói munkaállomásokon való telepítésre készült, és Outlook-bővítményként is megmarad. Működési módszerei a LightNeuron működését tükrözik, egy másik Turla hátsó ajtó, amely e-mail üzeneteket alkalmaz a C&C kommunikációhoz.