Backdoor LunarWeb
Un Ministero degli Affari Esteri (MFA) europeo e le sue tre missioni diplomatiche in Medio Oriente sono stati recentemente colpiti da una nuova backdoor chiamata LunarWeb, che non era stata documentata prima. Inoltre, gli aggressori hanno utilizzato un altro strumento dannoso, denominato LunarMail. I ricercatori ritengono con media certezza che questo attacco informatico sia opera del gruppo di spionaggio informatico Turla, allineato alla Russia, conosciuto con vari alias, tra cui Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos e Venomous Bear. L'attribuzione si basa sulle somiglianze nelle tattiche osservate nelle precedenti campagne associate a questo attore della minaccia.
LunarWeb opera su server che utilizzano HTTP(S) per le comunicazioni di comando e controllo (C&C), mascherando la propria attività come richieste legittime. D'altro canto, LunarMail, distribuito sulle workstation, rimane persistente come componente aggiuntivo di Outlook e utilizza i messaggi di posta elettronica per le comunicazioni C&C. Un esame dei manufatti lunari suggerisce che potrebbero essere stati utilizzati in attacchi mirati già nel 2020, o forse anche prima.
Sommario
L'APT Turla è uno dei principali attori della minaccia sulla scena del crimine informatico
Turla, ritenuto affiliato al Servizio di sicurezza federale russo (FSB), è una minaccia persistente avanzata (APT) nota per essere attiva almeno dal 1996. Ha una comprovata esperienza nel prendere di mira una serie di settori che vanno dal governo, alle ambasciate, alle forze armate. , istruzione, ricerca e settori farmaceutici.
All'inizio del 2024, il gruppo di spionaggio informatico è stato scoperto mentre attaccava organizzazioni polacche per distribuire una backdoor denominata TinyTurla-NG (TTNG). Il gruppo Turla è un avversario persistente con una lunga storia di attività. Le loro origini, tattiche e obiettivi indicano tutti un'operazione ben finanziata con agenti altamente qualificati.
Vettori di infezione per la consegna della backdoor LunarWeb
Il metodo preciso utilizzato per violare l'MFA è attualmente sconosciuto, ma si sospetta che coinvolga elementi di spear-phishing e lo sfruttamento del software Zabbix configurato in modo errato. Si ritiene che la fase iniziale dell'attacco inizi con una versione compilata di una pagina Web ASP.NET, che funge da canale per decodificare due blob incorporati contenenti LunarLoader (un caricatore) e la backdoor LunarWeb.
In questo processo, quando si accede alla pagina, si prevede una password all'interno di un cookie denominato SMSKey. Se fornita, questa password viene utilizzata per derivare una chiave crittografica per decrittografare i payload successivi. Probabilmente l'aggressore aveva un accesso alla rete preesistente, ha utilizzato credenziali rubate per gli spostamenti laterali e ha intrapreso azioni deliberate per compromettere discretamente il server.
D'altra parte, LunarMail viene diffuso tramite un documento Microsoft Word dannoso inviato tramite e-mail di spear phishing, che include payload di LunarLoader e la backdoor associata.
Come funzionano le backdoor LunarWeb e LunarMail una volta eseguite?
LunarWeb è in grado di raccogliere informazioni di sistema ed eseguire comandi incorporati nei file immagine JPG e GIF ricevuti dal server C&C. I risultati vengono quindi compressi e crittografati prima di essere rispediti. Per eludere il rilevamento, LunarWeb maschera il proprio traffico di rete per assomigliare ad attività legittime come gli aggiornamenti di Windows.
Le istruzioni C&C consentono a LunarWeb di eseguire comandi shell e PowerShell, eseguire codice Lua, manipolare file e archiviare directory specificate. Un altro impianto, LunarMail, possiede funzionalità simili ma funziona in modo unico integrandosi con Outlook e comunicando con il suo server C&C tramite e-mail, scansionando messaggi specifici contenenti allegati PNG.
I comandi di LunarMail includono la configurazione di un profilo Outlook per C&C, l'avvio di processi arbitrari e l'acquisizione di screenshot. L'output di queste azioni viene nascosto all'interno di immagini PNG o documenti PDF prima di essere inviato come allegato e-mail a una casella di posta controllata dagli aggressori.
LunarMail è progettato per l'implementazione sulle workstation degli utenti anziché sui server e persiste come componente aggiuntivo di Outlook. I suoi metodi operativi rispecchiano quelli di LightNeuron , un'altra backdoor di Turla che utilizza messaggi di posta elettronica per le comunicazioni C&C.
