Multi-License Discount Quote
위협 데이터베이스 Backdoors LunarWeb 백도어

LunarWeb 백도어

Backdoors, Advanced Persistent Threat (APT)년에 Mezo 년까지
번역 :
한국어

유럽 외무부(MFA)와 중동 주재 3개 외교 공관이 최근 LunarWeb이라는 새로운 백도어에 공격을 받았습니다. 이 백도어는 이전에 문서화되지 않았습니다. 또한 공격자는 LunarMail이라는 또 다른 악성 도구를 사용했습니다. 연구원들은 이번 사이버 공격이 Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos 및 Venomous Bear를 포함한 다양한 별칭으로 알려진 러시아 연계 사이버 스파이 그룹 Turla의 소행이라고 중간 수준의 확신을 갖고 믿고 있습니다. 속성은 이 위협 행위자와 관련된 이전 캠페인에서 관찰된 전술의 유사성을 기반으로 합니다.

LunarWeb은 명령 및 제어(C&C) 통신을 위해 HTTP(S)를 사용하는 서버에서 작동하며 해당 활동을 합법적인 요청으로 위장합니다. 반면, 워크스테이션에 배포된 LunarMail은 Outlook 추가 기능으로 지속성을 유지하며 C&C 통신에 이메일 메시지를 활용합니다. 달 유물을 조사한 결과, 빠르면 2020년 또는 그 이전에 표적 공격에 사용되었을 가능성이 있는 것으로 나타났습니다.

Turla APT는 사이버 범죄 현장의 주요 위협 행위자입니다.

러시아 연방보안국(FSB)과 연계된 것으로 평가되는 Turla는 최소 1996년부터 활동한 것으로 알려진 APT(지능형 지속 위협)입니다. 이 공격은 정부, 대사관, 군대 등 다양한 산업 분야를 표적으로 삼은 기록을 가지고 있습니다. , 교육, 연구 및 제약 분야.

2024년 초, 사이버 스파이 그룹은 TinyTurla-NG(TTNG)라는 백도어를 배포하기 위해 폴란드 조직을 공격하는 것으로 밝혀졌습니다. Turla 그룹은 오랜 활동 역사를 지닌 끈질긴 적입니다. 이들의 기원, 전술, 목표는 모두 고도로 숙련된 요원들로 구성된 충분한 자금을 갖춘 작전임을 나타냅니다.

LunarWeb 백도어 전달을 위한 감염 벡터

MFA를 위반하는 데 사용된 정확한 방법은 현재 알려지지 않았지만, 스피어 피싱 요소와 잘못 구성된 Zabbix 소프트웨어 악용 요소가 포함된 것으로 의심됩니다. 공격의 초기 단계는 LunarLoader(로더)와 LunarWeb 백도어가 포함된 두 개의 내장된 blob을 디코딩하는 통로 역할을 하는 ASP.NET 웹 페이지의 컴파일된 버전으로 시작되는 것으로 보입니다.

이 프로세스에서 페이지에 액세스하면 SMSKey라는 쿠키 내에 비밀번호가 있어야 합니다. 제공된 경우 이 비밀번호는 후속 페이로드를 해독하기 위한 암호화 키를 파생하는 데 사용됩니다. 공격자는 기존 네트워크 액세스 권한을 가지고 있었고 측면 이동을 위해 훔친 자격 증명을 활용했으며 서버를 은밀하게 손상시키기 위해 고의적인 조치를 취했을 가능성이 높습니다.

반면 LunarMail은 LunarLoader의 페이로드와 관련 백도어가 포함된 스피어 피싱 이메일을 통해 전송된 악성 Microsoft Word 문서를 통해 유포됩니다.

LunarWeb 및 LunarMail 백도어가 실행되면 어떻게 작동합니까?

LunarWeb은 시스템 정보를 수집하고 C&C 서버에서 받은 JPG 및 GIF 이미지 파일에 포함된 명령을 실행할 수 있습니다. 그런 다음 결과는 다시 전송되기 전에 압축 및 암호화됩니다. 탐지를 피하기 위해 LunarWeb은 네트워크 트래픽을 Windows 업데이트와 같은 합법적인 활동과 유사하게 위장합니다.

C&C 지침을 사용하면 LunarWeb에서 셸 및 PowerShell 명령을 실행하고, Lua 코드를 실행하고, 파일을 조작하고, 지정된 디렉터리를 보관할 수 있습니다. 또 다른 임플란트인 LunarMail은 비슷한 기능을 가지고 있지만 Outlook과 통합하고 이메일을 통해 C&C 서버와 통신하여 PNG 첨부 파일이 포함된 특정 메시지를 검색함으로써 고유하게 작동합니다.

LunarMail의 명령에는 C&C용 Outlook 프로필 구성, 임의 프로세스 실행 및 스크린샷 캡처가 포함됩니다. 이러한 작업의 출력은 공격자가 제어하는 받은 편지함에 이메일 첨부 파일로 전송되기 전에 PNG 이미지 또는 PDF 문서 내에 숨겨져 있습니다.

LunarMail은 서버가 아닌 사용자 워크스테이션에 배포하도록 설계되었으며 Outlook 추가 기능으로 유지됩니다. 이 작동 방법은 C&C 통신에 이메일 메시지를 사용하는 또 다른 Turla 백도어인 LightNeuron 의 작동 방법과 유사합니다.

트렌드

X-finder.pro

Browser Hijackers, 잠재적으로 원하지 않는 프로그램
최근 몇 달 동안 사이버 보안 환경에는 X-Finder로 알려진 새로운 브라우저 하이재커라는 우려되는 추세가 나타났습니다. 찾다. X-파인더. 검색은 CrackedCantil 드로퍼 악성코드에 의해 배포되고 있으며, 시스템에 침투하고 인터넷 브라우저 설정을 조작하여 관련 가짜 검색 엔진인 X-Finder.pro의 사용을 홍보하고 있습니다. 이러한...

가장 많이 본

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

Issue
82,723
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

Issue
65,768
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
로드 중...