LunarWeb Backdoor
ក្រសួងការបរទេសអ៊ឺរ៉ុប (MFA) និងបេសកកម្មការទូតចំនួនបីរបស់ខ្លួននៅមជ្ឈិមបូព៌ាថ្មីៗនេះត្រូវបានវាយប្រហារដោយទ្វារខាងក្រោយថ្មីមួយដែលមានឈ្មោះថា LunarWeb ដែលមិនមានឯកសារពីមុនមក។ លើសពីនេះ អ្នកវាយប្រហារបានប្រើឧបករណ៍ព្យាបាទមួយផ្សេងទៀត ដែលមានឈ្មោះថា LunarMail ។ អ្នកស្រាវជ្រាវជឿជាក់ដោយទំនុកចិត្តមធ្យមថាការវាយប្រហារតាមអ៊ីនធឺណិតនេះគឺជាការងាររបស់ក្រុមចារកម្មអ៊ីនធឺណេតដែលមានសម្ព័ន្ធមិត្តរុស្ស៊ី Turla ដែលត្រូវបានគេស្គាល់ដោយឈ្មោះក្លែងក្លាយជាច្រើនរួមមាន Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos និង Venomous Bear ។ ការបញ្ជាក់គឺផ្អែកលើភាពស្រដៀងគ្នានៅក្នុងយុទ្ធសាស្ត្រដែលបានសង្កេតនៅក្នុងយុទ្ធនាការមុនៗដែលទាក់ទងនឹងតួអង្គគំរាមកំហែងនេះ។
LunarWeb ដំណើរការលើម៉ាស៊ីនមេដោយប្រើ HTTP(S) សម្រាប់ទំនាក់ទំនង Command-and-Control (C&C) ដោយក្លែងបន្លំសកម្មភាពរបស់វាជាសំណើស្របច្បាប់។ ម៉្យាងវិញទៀត LunarMail ដែលត្រូវបានដាក់ពង្រាយនៅលើស្ថានីយការងារ នៅតែជាកម្មវិធីបន្ថែមរបស់ Outlook និងប្រើប្រាស់សារអ៊ីមែលសម្រាប់ទំនាក់ទំនង C&C របស់ខ្លួន។ ការពិនិត្យលើវត្ថុបុរាណតាមច័ន្ទគតិ បង្ហាញថា ពួកគេអាចត្រូវបានគេប្រើប្រាស់ក្នុងការវាយប្រហារតាមគោលដៅនៅដើមឆ្នាំ 2020 ឬប្រហែលជាមុននេះ។
តារាងមាតិកា
Turla APT គឺជាតួអង្គគំរាមកំហែងដ៏សំខាន់មួយនៅលើឆាកឧក្រិដ្ឋកម្មតាមអ៊ីនធឺណិត
Turla ដែលត្រូវបានវាយតម្លៃថាមានទំនាក់ទំនងជាមួយសេវាសន្តិសុខសហព័ន្ធ (FSB) របស់រុស្ស៊ី គឺជាការគំរាមកំហែងជាប់លាប់កម្រិតខ្ពស់ (APT) ដែលត្រូវបានគេស្គាល់ថាមានសកម្មភាពតាំងពីឆ្នាំ 1996 មកម្ល៉េះ។ វាមានកំណត់ត្រាកំណត់គោលដៅនៃឧស្សាហកម្មជាច្រើនដែលលាតសន្ធឹងលើរដ្ឋាភិបាល ស្ថានទូត យោធា។ វិស័យអប់រំ ការស្រាវជ្រាវ និងផ្នែកឱសថ។
នៅដើមឆ្នាំ 2024 ក្រុមចារកម្មតាមអ៊ីនធឺណិតត្រូវបានគេរកឃើញថាបានវាយប្រហារអង្គការប៉ូឡូញដើម្បីចែកចាយ backdoor ដែលមានឈ្មោះថា TinyTurla-NG (TTNG) ។ ក្រុម Turla គឺជាសត្រូវតស៊ូដែលមានប្រវត្តិសកម្មភាពយូរមកហើយ។ ប្រភពដើម កលល្បិច និងគោលដៅរបស់ពួកគេទាំងអស់បង្ហាញពីប្រតិបត្តិការដែលមានមូលនិធិល្អជាមួយប្រតិបត្តិករដែលមានជំនាញខ្ពស់។
វ៉ិចទ័រឆ្លងសម្រាប់ការចែកចាយ LunarWeb Backdoor
វិធីសាស្រ្តច្បាស់លាស់ដែលត្រូវបានប្រើដើម្បីបំពាន MFA បច្ចុប្បន្នមិនត្រូវបានគេដឹងទេ ប៉ុន្តែវាត្រូវបានគេសង្ស័យថាពាក់ព័ន្ធនឹងធាតុនៃ spear-phishing និងការកេងប្រវ័ញ្ចនៃកម្មវិធី Zabbix ដែលបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវ។ ដំណាក់កាលដំបូងនៃការវាយប្រហារត្រូវបានគេជឿថានឹងចាប់ផ្តើមជាមួយនឹងកំណែចងក្រងនៃគេហទំព័រ ASP.NET ដែលបម្រើជាឧបករណ៍សម្រាប់ឌិកូដប្លុកដែលបានបង្កប់ចំនួនពីរដែលមាន LunarLoader (កម្មវិធីផ្ទុកទិន្នន័យ) និង LunarWeb backdoor ។
នៅក្នុងដំណើរការនេះ នៅពេលដែលទំព័រត្រូវបានចូលប្រើ វារំពឹងថានឹងមានពាក្យសម្ងាត់នៅក្នុងខូគីដែលមានឈ្មោះថា SMSKey ។ ប្រសិនបើបានផ្តល់ ពាក្យសម្ងាត់នេះត្រូវបានប្រើដើម្បីទាញយកសោគ្រីបសម្រាប់ការឌិគ្រីបបន្ទុកជាបន្តបន្ទាប់។ អ្នកវាយប្រហារទំនងជាមានការចូលប្រើបណ្តាញដែលមានស្រាប់ ប្រើប្រាស់ព័ត៌មានសម្ងាត់ដែលត្រូវបានលួចសម្រាប់ចលនានៅពេលក្រោយ និងបានធ្វើសកម្មភាពដោយចេតនាដើម្បីសម្របសម្រួលម៉ាស៊ីនមេដោយសម្ងាត់។
ម៉្យាងវិញទៀត LunarMail ត្រូវបានផ្សព្វផ្សាយតាមរយៈឯកសារ Microsoft Word ព្យាបាទដែលបានផ្ញើតាមរយៈអ៊ីម៉ែល spear-phishing ដែលរួមបញ្ចូលបន្ទុក LunarLoader និង backdoor ដែលពាក់ព័ន្ធ។
តើ LunarWeb និង LunarMail Backdoors ដំណើរការដោយរបៀបណា?
LunarWeb មានសមត្ថភាពប្រមូលព័ត៌មានប្រព័ន្ធ និងប្រតិបត្តិពាក្យបញ្ជាដែលបានបង្កប់ក្នុងឯកសាររូបភាព JPG និង GIF ដែលបានទទួលពីម៉ាស៊ីនមេ C&C ។ បន្ទាប់មកលទ្ធផលត្រូវបានបង្ហាប់ និងអ៊ិនគ្រីប មុនពេលត្រូវបានបញ្ជូនមកវិញ។ ដើម្បីគេចពីការរកឃើញ LunarWeb ក្លែងបន្លំចរាចរបណ្តាញរបស់ខ្លួនឱ្យស្រដៀងនឹងសកម្មភាពស្របច្បាប់ដូចជាការអាប់ដេត Windows ជាដើម។
សេចក្តីណែនាំ C&C អនុញ្ញាតឱ្យ LunarWeb ប្រតិបត្តិពាក្យបញ្ជាសែល និង PowerShell ដំណើរការកូដ Lua រៀបចំឯកសារ និងរក្សាទុកថតដែលបានបញ្ជាក់។ ផ្សាំមួយទៀត LunarMail មានមុខងារស្រដៀងគ្នា ប៉ុន្តែដំណើរការដោយឡែកដោយរួមបញ្ចូលជាមួយ Outlook និងទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C&C របស់វាតាមរយៈអ៊ីមែល ស្កែនមើលសារជាក់លាក់ដែលមានឯកសារភ្ជាប់ PNG ។
ពាក្យបញ្ជារបស់ LunarMail រួមមានការកំណត់ទម្រង់ Outlook សម្រាប់ C&C ការចាប់ផ្តើមដំណើរការតាមអំពើចិត្ត និងការថតរូបអេក្រង់។ លទ្ធផលពីសកម្មភាពទាំងនេះត្រូវបានលាក់នៅក្នុងរូបភាព PNG ឬឯកសារ PDF មុនពេលត្រូវបានផ្ញើជាឯកសារភ្ជាប់អ៊ីមែលទៅកាន់ប្រអប់ទទួលដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ។
LunarMail ត្រូវបានរចនាឡើងសម្រាប់ការដាក់ពង្រាយនៅលើស្ថានីយការងារអ្នកប្រើជាជាងម៉ាស៊ីនបម្រើ ដោយបន្តជាកម្មវិធីបន្ថែមរបស់ Outlook។ វិធីសាស្រ្តប្រតិបត្តិការរបស់វាឆ្លុះបញ្ចាំងពី LightNeuron ដែលជា Backdoor Turla មួយផ្សេងទៀតដែលប្រើសារអ៊ីមែលសម្រាប់ទំនាក់ទំនង C&C ។
