Pintu Belakang LunarWeb
Kementerian Luar Negeri Eropah (MFA) dan tiga misi diplomatiknya di Timur Tengah baru-baru ini dilanda pintu belakang baharu yang dipanggil LunarWeb, yang tidak pernah didokumenkan sebelum ini. Selain itu, penyerang menggunakan alat jahat lain, digelar LunarMail. Penyelidik percaya dengan keyakinan sederhana bahawa serangan siber ini adalah kerja kumpulan pengintipan siber sejajar Rusia Turla, yang dikenali dengan pelbagai alias, termasuk Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos dan Venomous Bear. Atribusi adalah berdasarkan persamaan dalam taktik yang diperhatikan dalam kempen terdahulu yang dikaitkan dengan aktor ancaman ini.
LunarWeb beroperasi pada pelayan menggunakan HTTP(S) untuk komunikasi Command-and-Control (C&C), menyamarkan aktivitinya sebagai permintaan yang sah. Sebaliknya, LunarMail, yang digunakan pada stesen kerja, kekal berterusan sebagai tambahan Outlook dan menggunakan mesej e-mel untuk komunikasi C&Cnya. Pemeriksaan artifak Lunar menunjukkan bahawa mereka mungkin telah digunakan dalam serangan yang disasarkan seawal 2020, atau mungkin lebih awal.
Isi kandungan
APT Turla ialah Pelakon Ancaman Utama di Adegan Jenayah Siber
Turla, yang dinilai bersekutu dengan Perkhidmatan Keselamatan Persekutuan (FSB) Rusia, ialah ancaman berterusan (APT) lanjutan yang diketahui aktif sejak sekurang-kurangnya 1996. Ia mempunyai rekod prestasi menyasarkan pelbagai industri merangkumi kerajaan, kedutaan, tentera , pendidikan, penyelidikan, dan sektor farmaseutikal.
Terdahulu pada 2024, kumpulan pengintipan siber telah ditemui menyerang organisasi Poland untuk mengedarkan pintu belakang bernama TinyTurla-NG (TTNG). Kumpulan Turla adalah musuh yang berterusan dengan sejarah aktiviti yang panjang. Asal usul, taktik dan sasaran mereka semuanya menunjukkan operasi yang dibiayai dengan baik dengan koperasi berkemahiran tinggi.
Vektor Jangkitan untuk Penghantaran Pintu Belakang LunarWeb
Kaedah tepat yang digunakan untuk melanggar MFA pada masa ini tidak diketahui, tetapi ia disyaki melibatkan unsur pancingan lembing dan eksploitasi perisian Zabbix yang salah konfigurasi. Peringkat awal serangan dipercayai bermula dengan versi terkumpul halaman web ASP.NET, berfungsi sebagai saluran untuk menyahkod dua gumpalan terbenam yang mengandungi LunarLoader (pemuat) dan pintu belakang LunarWeb.
Dalam proses ini, apabila halaman itu diakses, ia mengharapkan kata laluan dalam kuki bernama SMSKey. Jika disediakan, kata laluan ini digunakan untuk memperoleh kunci kriptografi untuk menyahsulit muatan berikutnya. Penyerang berkemungkinan mempunyai akses rangkaian sedia ada, menggunakan bukti kelayakan yang dicuri untuk pergerakan sisi, dan mengambil tindakan yang disengajakan untuk menjejaskan pelayan secara diam-diam.
Sebaliknya, LunarMail disebarkan melalui dokumen Microsoft Word berniat jahat yang dihantar melalui e-mel spear-phishing, yang termasuk muatan LunarLoader dan pintu belakang yang berkaitan.
Bagaimana LunarWeb dan LunarMail Backdoors Beroperasi Setelah Dilaksanakan?
LunarWeb mampu mengumpul maklumat sistem dan melaksanakan arahan yang dibenamkan dalam fail imej JPG dan GIF yang diterima daripada pelayan C&C. Hasilnya kemudian dimampatkan dan disulitkan sebelum dihantar semula. Untuk mengelakkan pengesanan, LunarWeb menyamarkan trafik rangkaiannya untuk menyerupai aktiviti yang sah seperti kemas kini Windows.
Arahan C&C membolehkan LunarWeb melaksanakan perintah shell dan PowerShell, menjalankan kod Lua, memanipulasi fail dan mengarkibkan direktori yang ditentukan. Satu lagi implan, LunarMail, mempunyai fungsi yang serupa tetapi beroperasi secara unik dengan menyepadukan dengan Outlook dan berkomunikasi dengan pelayan C&Cnya melalui e-mel, mengimbas untuk mesej tertentu yang mengandungi lampiran PNG.
Perintah LunarMail termasuk mengkonfigurasi profil Outlook untuk C&C, melancarkan proses sewenang-wenangnya dan menangkap tangkapan skrin. Output daripada tindakan ini disembunyikan dalam imej PNG atau dokumen PDF sebelum dihantar sebagai lampiran e-mel ke peti masuk yang dikawal oleh penyerang.
LunarMail direka bentuk untuk penggunaan pada stesen kerja pengguna dan bukannya pelayan, berterusan sebagai tambahan Outlook. Kaedah operasinya mencerminkan LightNeuron , satu lagi pintu belakang Turla yang menggunakan mesej e-mel untuk komunikasi C&C.
