LunarWeb bakdør
Et europeisk utenriksdepartement (MFA) og dets tre diplomatiske oppdrag i Midtøsten ble nylig rammet av en ny bakdør kalt LunarWeb, som ikke var dokumentert før. I tillegg brukte angripere et annet skadelig verktøy, kalt LunarMail. Forskere tror med middels selvtillit at dette nettangrepet er arbeidet til den Russland-justerte nettspiongruppen Turla, kjent under forskjellige aliaser, inkludert Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos og Venomous Bear. Attribusjonen er basert på likheter i taktikk observert i tidligere kampanjer knyttet til denne trusselaktøren.
LunarWeb opererer på servere som bruker HTTP(S) for sin Command-and-Control (C&C) kommunikasjon, og skjuler aktiviteten som legitime forespørsler. På den annen side forblir LunarMail, distribuert på arbeidsstasjoner, vedvarende som et Outlook-tillegg og bruker e-postmeldinger for sin C&C-kommunikasjon. En undersøkelse av måneartefaktene antyder at de kunne ha blitt brukt i målrettede angrep så tidlig som i 2020, eller muligens enda tidligere.
Innholdsfortegnelse
Turla APT er en stor trusselaktør på nettkriminalitetsscenen
Turla, som vurderes å være tilknyttet Russlands føderale sikkerhetstjeneste (FSB), er en avansert vedvarende trussel (APT) som er kjent for å ha vært aktiv siden minst 1996. Den har en merittliste når det gjelder målretting mot en rekke bransjer som spenner over regjeringen, ambassader, militæret. , utdanning, forskning og farmasøytisk sektor.
Tidligere i 2024 ble cyberspionasjegruppen oppdaget som angrep polske organisasjoner for å distribuere en bakdør kalt TinyTurla-NG (TTNG). Turla-gruppen er en vedvarende motstander med en lang historie med aktiviteter. Deres opprinnelse, taktikk og mål indikerer alle en godt finansiert operasjon med svært dyktige operatører.
Infeksjonsvektorer for levering av LunarWeb-bakdøren
Den nøyaktige metoden som ble brukt for å bryte MFA er foreløpig ukjent, men den er mistenkt for å involvere elementer av spyd-phishing og utnyttelse av feilkonfigurert Zabbix-programvare. Den innledende fasen av angrepet antas å begynne med en kompilert versjon av en ASP.NET-webside, som fungerer som en kanal for å dekode to innebygde blobs som inneholder LunarLoader (en loader) og LunarWeb-bakdøren.
I denne prosessen, når siden åpnes, forventer den et passord i en informasjonskapsel kalt SMSKey. Hvis oppgitt, brukes dette passordet til å utlede en kryptografisk nøkkel for dekryptering av påfølgende nyttelaster. Angriperen hadde sannsynligvis allerede eksisterende nettverkstilgang, brukte stjålne legitimasjon for sideveis bevegelse, og tok bevisste handlinger for å kompromittere serveren diskret.
På den annen side spres LunarMail via et ondsinnet Microsoft Word-dokument sendt gjennom spyd-phishing-e-poster, som inkluderer nyttelast av LunarLoader og den tilhørende bakdøren.
Hvordan fungerer LunarWeb og LunarMail-bakdørene når de er utført?
LunarWeb er i stand til å samle systeminformasjon og utføre kommandoer innebygd i JPG- og GIF-bildefiler mottatt fra C&C-serveren. Resultatene blir deretter komprimert og kryptert før de sendes ut igjen. For å unngå gjenkjenning, skjuler LunarWeb nettverkstrafikken for å ligne legitime aktiviteter som Windows-oppdateringer.
C&C-instruksjonene gjør det mulig for LunarWeb å utføre shell- og PowerShell-kommandoer, kjøre Lua-kode, manipulere filer og arkivere spesifiserte kataloger. Et annet implantat, LunarMail, har lignende funksjoner, men fungerer unikt ved å integrere med Outlook og kommunisere med C&C-serveren via e-post, og skanner etter spesifikke meldinger som inneholder PNG-vedlegg.
LunarMails kommandoer inkluderer å konfigurere en Outlook-profil for C&C, starte vilkårlige prosesser og ta skjermbilder. Utdata fra disse handlingene er skjult i PNG-bilder eller PDF-dokumenter før de sendes som e-postvedlegg til en angriperkontrollert innboks.
LunarMail er designet for distribusjon på brukerarbeidsstasjoner i stedet for servere, og fortsetter som et Outlook-tillegg. Dens operasjonelle metoder gjenspeiler de til LightNeuron , en annen Turla-bakdør som bruker e-postmeldinger for C&C-kommunikasjon.
