LunarWeb ब्याकडोर
युरोपेली विदेश मन्त्रालय (MFA) र मध्य पूर्वमा यसका तीन कूटनीतिक नियोगहरू भर्खरै लुनारवेब भनिने नयाँ ब्याकडोरले प्रहार गरेका थिए, जुन पहिले दस्तावेज गरिएको थिएन। थप रूपमा, आक्रमणकारीहरूले अर्को दुर्भावनापूर्ण उपकरण प्रयोग गरे, डब लुनरमेल। अन्वेषकहरूले मध्यम विश्वासका साथ विश्वास गर्छन् कि यो साइबर आक्रमण रूस-सम्बन्धित साइबर जासूसी समूह टुर्लाको काम हो, जसलाई आइरन हन्टर, पेन्सिभ उर्सा, सेक्रेट ब्लिजार्ड, स्नेक, उरोबुरोस र विषालु भालु लगायत विभिन्न उपनामहरूले चिनिन्छ। एट्रिब्युशन यस खतरा अभिनेतासँग सम्बन्धित अघिल्लो अभियानहरूमा अवलोकन गरिएका रणनीतिहरूमा समानताहरूमा आधारित छ।
LunarWeb यसको कमाण्ड-एन्ड-कन्ट्रोल (C&C) संचारका लागि HTTP(S) प्रयोग गरेर सर्भरहरूमा सञ्चालन गर्दछ, यसको गतिविधिलाई वैध अनुरोधहरूको रूपमा लुकाउँछ। अर्कोतर्फ, LunarMail, कार्यस्थानहरूमा तैनाथ गरिएको, Outlook add-in को रूपमा निरन्तर रहन्छ र यसको C&C संचारका लागि इमेल सन्देशहरू प्रयोग गर्दछ। चन्द्र कलाकृतिहरूको परीक्षणले सुझाव दिन्छ कि उनीहरूलाई लक्षित आक्रमणहरूमा 2020 को शुरुवातमा वा सम्भवतः पहिले नै प्रयोग गरिएको हुन सक्छ।
सामग्रीको तालिका
Turla APT साइबर अपराध दृश्य मा एक प्रमुख खतरा अभिनेता हो
टुर्ला, रुसको संघीय सुरक्षा सेवा (FSB) सँग आबद्ध भएको मूल्याङ्कन गरिएको, एक उन्नत निरन्तर खतरा (APT) हो जुन कम्तिमा 1996 देखि सक्रिय रहेको चिनिन्छ। यसमा सरकार, दूतावास, सेना फैलिएका उद्योगहरूको दायरालाई लक्षित गर्ने ट्र्याक रेकर्ड छ। , शिक्षा, अनुसन्धान, र औषधि क्षेत्रहरू।
यसअघि २०२४ मा, साइबर जासूसी समूहले पोल्याण्डका संस्थाहरूलाई TinyTurla-NG (TTNG) नामक ब्याकडोर वितरण गर्न आक्रमण गरिरहेको पत्ता लागेको थियो। टुर्ला समूह गतिविधिहरूको लामो इतिहासको साथ एक निरन्तर विरोधी हो। तिनीहरूको उत्पत्ति, कार्यनीति, र लक्ष्यहरू सबैले उच्च कुशल अपरेटिभहरूसँग राम्रो वित्त पोषित सञ्चालनलाई संकेत गर्दछ।
LunarWeb ब्याकडोर को डेलिभरी को लागी संक्रमण भेक्टर
MFA उल्लङ्घन गर्न प्रयोग गरिएको सटीक विधि हाल अज्ञात छ, तर यसमा भाला-फिसिङ र गलत कन्फिगर गरिएको Zabbix सफ्टवेयरको शोषणको तत्वहरू समावेश भएको शंका छ। आक्रमणको प्रारम्भिक चरण ASP.NET वेब पृष्ठको कम्पाइल गरिएको संस्करणबाट सुरु भएको मानिन्छ, जसले LunarLoader (एक लोडर) र LunarWeb ब्याकडोर समावेश गरी दुईवटा इम्बेडेड ब्लबहरू डिकोड गर्न कन्ड्युइटको रूपमा सेवा गर्दछ।
यस प्रक्रियामा, जब पृष्ठ पहुँच गरिन्छ, यसले SMSKey नामको कुकी भित्र पासवर्डको अपेक्षा गर्दछ। यदि प्रदान गरिएको छ भने, यो पासवर्ड पछिको पेलोडहरू डिक्रिप्ट गर्नको लागि क्रिप्टोग्राफिक कुञ्जी प्राप्त गर्न प्रयोग गरिन्छ। आक्रमणकारीसँग पूर्व-अवस्थित सञ्जाल पहुँच थियो, पार्श्व आन्दोलनको लागि चोरी प्रमाणहरू प्रयोग गर्यो, र सर्भरलाई सावधानीपूर्वक सम्झौता गर्न जानाजानी कार्यहरू गर्यो।
अर्कोतर्फ, LunarMail भाला-फिसिङ इमेलहरू मार्फत पठाइएको एक खराब Microsoft Word कागजात मार्फत फैलिएको छ, जसमा LunarLoader र सम्बन्धित ब्याकडोरको पेलोडहरू समावेश छन्।
कसरी LunarWeb र LunarMail ब्याकडोरहरू एक पटक कार्यान्वयन हुन्छ?
LunarWeb प्रणाली जानकारी जम्मा गर्न र C&C सर्भरबाट प्राप्त JPG र GIF छवि फाइलहरू भित्र इम्बेड गरिएका आदेशहरू कार्यान्वयन गर्न सक्षम छ। नतिजाहरू फिर्ता पठाउनु अघि संकुचित र गुप्तिकरण गरिन्छ। पत्ता लगाउनबाट बच्न, LunarWeb ले आफ्नो नेटवर्क ट्राफिकलाई विन्डोज अपडेटहरू जस्ता वैध गतिविधिहरू जस्तै भेषमा राख्छ।
C&C निर्देशनहरूले LunarWeb लाई शेल र PowerShell आदेशहरू कार्यान्वयन गर्न, Lua कोड चलाउन, फाइलहरू हेरफेर गर्न, र निर्दिष्ट निर्देशिकाहरू अभिलेख गर्न सक्षम बनाउँछ। अर्को प्रत्यारोपण, LunarMail सँग समान प्रकार्यताहरू छन् तर आउटलुकसँग एकीकरण गरेर र यसको C&C सर्भरसँग इमेल मार्फत सञ्चार गरेर, PNG संलग्नहरू भएका विशिष्ट सन्देशहरूको लागि स्क्यान गरेर अद्वितीय रूपमा सञ्चालन गर्दछ।
LunarMail को आदेशहरूमा C&C को लागि Outlook प्रोफाइल कन्फिगर गर्ने, मनमानी प्रक्रियाहरू सुरु गर्ने, र स्क्रिनसटहरू खिच्ने समावेश छ। आक्रमणकारी-नियन्त्रित इनबक्समा इमेल संलग्नकको रूपमा पठाउनु अघि यी कार्यहरूबाट आउटपुट PNG छविहरू वा PDF कागजातहरूमा लुकाइन्छ।
LunarMail सर्भरको सट्टा प्रयोगकर्ता कार्यस्थानहरूमा तैनातीको लागि डिजाइन गरिएको हो, Outlook add-in को रूपमा रहन्छ। यसको परिचालन विधिहरूले C&C संचारका लागि इमेल सन्देशहरू प्रयोग गर्ने अर्को Turla ब्याकडोर LightNeuron को प्रतिबिम्बित गर्दछ।
