LunarWeb ਬੈਕਡੋਰ

ਇੱਕ ਯੂਰਪੀਅਨ ਵਿਦੇਸ਼ ਮੰਤਰਾਲੇ (MFA) ਅਤੇ ਮੱਧ ਪੂਰਬ ਵਿੱਚ ਇਸਦੇ ਤਿੰਨ ਡਿਪਲੋਮੈਟਿਕ ਮਿਸ਼ਨਾਂ ਨੂੰ ਹਾਲ ਹੀ ਵਿੱਚ LunarWeb ਨਾਮਕ ਇੱਕ ਨਵੇਂ ਬੈਕਡੋਰ ਦੁਆਰਾ ਮਾਰਿਆ ਗਿਆ ਸੀ, ਜਿਸਦਾ ਪਹਿਲਾਂ ਦਸਤਾਵੇਜ਼ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ। ਇਸ ਤੋਂ ਇਲਾਵਾ, ਹਮਲਾਵਰਾਂ ਨੇ ਇਕ ਹੋਰ ਖਤਰਨਾਕ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਜਿਸ ਨੂੰ ਲੂਨਰਮੇਲ ਕਿਹਾ ਜਾਂਦਾ ਹੈ। ਖੋਜਕਰਤਾ ਮੱਧਮ ਭਰੋਸੇ ਨਾਲ ਵਿਸ਼ਵਾਸ ਕਰਦੇ ਹਨ ਕਿ ਇਹ ਸਾਈਬਰ ਅਟੈਕ ਰੂਸ ਨਾਲ ਜੁੜੇ ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ ਟੁਰਲਾ ਦਾ ਕੰਮ ਹੈ, ਜਿਸ ਨੂੰ ਆਇਰਨ ਹੰਟਰ, ਪੈਂਸਿਵ ਉਰਸਾ, ਸੀਕਰੇਟ ਬਲਿਜ਼ਾਰਡ, ਸੱਪ, ਯੂਰੋਬੁਰੋਸ ਅਤੇ ਜ਼ਹਿਰੀਲੇ ਰਿੱਛ ਸਮੇਤ ਵੱਖ-ਵੱਖ ਉਪਨਾਮਾਂ ਦੁਆਰਾ ਜਾਣਿਆ ਜਾਂਦਾ ਹੈ। ਵਿਸ਼ੇਸ਼ਤਾ ਇਸ ਧਮਕੀ ਅਭਿਨੇਤਾ ਨਾਲ ਜੁੜੀਆਂ ਪਿਛਲੀਆਂ ਮੁਹਿੰਮਾਂ ਵਿੱਚ ਵੇਖੀਆਂ ਗਈਆਂ ਰਣਨੀਤੀਆਂ ਵਿੱਚ ਸਮਾਨਤਾਵਾਂ 'ਤੇ ਅਧਾਰਤ ਹੈ।

LunarWeb ਇਸਦੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C&C) ਸੰਚਾਰਾਂ ਲਈ HTTP(S) ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਸਰਵਰਾਂ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ, ਇਸਦੀ ਗਤੀਵਿਧੀ ਨੂੰ ਜਾਇਜ਼ ਬੇਨਤੀਆਂ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦਿੰਦਾ ਹੈ। ਦੂਜੇ ਪਾਸੇ, ਲੂਨਰਮੇਲ, ਵਰਕਸਟੇਸ਼ਨਾਂ 'ਤੇ ਤੈਨਾਤ, ਆਉਟਲੁੱਕ ਐਡ-ਇਨ ਦੇ ਤੌਰ 'ਤੇ ਸਥਿਰ ਰਹਿੰਦਾ ਹੈ ਅਤੇ ਆਪਣੇ C&C ਸੰਚਾਰਾਂ ਲਈ ਈਮੇਲ ਸੁਨੇਹਿਆਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ। ਚੰਦਰਮਾ ਦੀਆਂ ਕਲਾਕ੍ਰਿਤੀਆਂ ਦੀ ਇੱਕ ਜਾਂਚ ਤੋਂ ਪਤਾ ਚੱਲਦਾ ਹੈ ਕਿ ਉਹਨਾਂ ਨੂੰ 2020 ਦੇ ਸ਼ੁਰੂ ਵਿੱਚ, ਜਾਂ ਸੰਭਵ ਤੌਰ 'ਤੇ ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਵੀ ਨਿਸ਼ਾਨਾ ਹਮਲਿਆਂ ਵਿੱਚ ਲਗਾਇਆ ਜਾ ਸਕਦਾ ਸੀ।

ਟਰਲਾ ਏਪੀਟੀ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਸੀਨ 'ਤੇ ਇੱਕ ਪ੍ਰਮੁੱਖ ਧਮਕੀ ਅਦਾਕਾਰ ਹੈ

ਤੁਰਲਾ, ਰੂਸ ਦੀ ਸੰਘੀ ਸੁਰੱਖਿਆ ਸੇਵਾ (FSB) ਨਾਲ ਸੰਬੰਧਿਤ ਹੋਣ ਦਾ ਮੁਲਾਂਕਣ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਉੱਨਤ ਪਰਸਿਸਟੈਂਟ ਖ਼ਤਰਾ (APT) ਹੈ ਜੋ ਘੱਟੋ-ਘੱਟ 1996 ਤੋਂ ਸਰਗਰਮ ਹੈ। ਇਸਦਾ ਸਰਕਾਰ, ਦੂਤਾਵਾਸਾਂ, ਫੌਜੀ ਖੇਤਰਾਂ ਵਿੱਚ ਫੈਲੇ ਉਦਯੋਗਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਦਾ ਰਿਕਾਰਡ ਹੈ। , ਸਿੱਖਿਆ, ਖੋਜ, ਅਤੇ ਫਾਰਮਾਸਿਊਟੀਕਲ ਸੈਕਟਰ।

ਇਸ ਤੋਂ ਪਹਿਲਾਂ 2024 ਵਿੱਚ, ਸਾਈਬਰ ਜਾਸੂਸੀ ਸਮੂਹ ਨੂੰ ਟਿਨੀਟੁਰਲਾ-ਐਨਜੀ (ਟੀਟੀਐਨਜੀ) ਨਾਮਕ ਬੈਕਡੋਰ ਵੰਡਣ ਲਈ ਪੋਲਿਸ਼ ਸੰਸਥਾਵਾਂ ਉੱਤੇ ਹਮਲਾ ਕਰਨ ਦਾ ਪਤਾ ਲਗਾਇਆ ਗਿਆ ਸੀ। ਤੁਰਲਾ ਸਮੂਹ ਗਤੀਵਿਧੀਆਂ ਦੇ ਲੰਬੇ ਇਤਿਹਾਸ ਦੇ ਨਾਲ ਇੱਕ ਨਿਰੰਤਰ ਵਿਰੋਧੀ ਹੈ। ਉਹਨਾਂ ਦੀ ਸ਼ੁਰੂਆਤ, ਰਣਨੀਤੀਆਂ, ਅਤੇ ਟੀਚੇ ਸਾਰੇ ਉੱਚ ਕੁਸ਼ਲ ਆਪਰੇਟਿਵਾਂ ਦੇ ਨਾਲ ਇੱਕ ਚੰਗੀ ਫੰਡ ਪ੍ਰਾਪਤ ਕਾਰਵਾਈ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।

ਲੂਨਰਵੈਬ ਬੈਕਡੋਰ ਦੀ ਸਪੁਰਦਗੀ ਲਈ ਇਨਫੈਕਸ਼ਨ ਵੈਕਟਰ

MFA ਦੀ ਉਲੰਘਣਾ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਣ ਵਾਲਾ ਸਹੀ ਢੰਗ ਵਰਤਮਾਨ ਵਿੱਚ ਅਣਜਾਣ ਹੈ, ਪਰ ਇਸ ਵਿੱਚ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਅਤੇ ਗਲਤ ਸੰਰਚਨਾ ਕੀਤੇ ਜ਼ੈਬਿਕਸ ਸੌਫਟਵੇਅਰ ਦੇ ਸ਼ੋਸ਼ਣ ਦੇ ਤੱਤ ਸ਼ਾਮਲ ਹੋਣ ਦਾ ਸ਼ੱਕ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਹਮਲੇ ਦਾ ਸ਼ੁਰੂਆਤੀ ਪੜਾਅ ASP.NET ਵੈੱਬ ਪੇਜ ਦੇ ਕੰਪਾਇਲ ਕੀਤੇ ਸੰਸਕਰਣ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ, ਜੋ LunarLoader (ਇੱਕ ਲੋਡਰ) ਅਤੇ LunarWeb ਬੈਕਡੋਰ ਵਾਲੇ ਦੋ ਏਮਬੈਡਡ ਬਲੌਬਸ ਨੂੰ ਡੀਕੋਡ ਕਰਨ ਲਈ ਇੱਕ ਕੰਡਿਊਟ ਵਜੋਂ ਕੰਮ ਕਰਦਾ ਹੈ।

ਇਸ ਪ੍ਰਕਿਰਿਆ ਵਿੱਚ, ਜਦੋਂ ਪੰਨੇ ਤੱਕ ਪਹੁੰਚ ਕੀਤੀ ਜਾਂਦੀ ਹੈ, ਤਾਂ ਇਹ SMSKey ਨਾਮ ਦੀ ਇੱਕ ਕੂਕੀ ਦੇ ਅੰਦਰ ਇੱਕ ਪਾਸਵਰਡ ਦੀ ਉਮੀਦ ਕਰਦਾ ਹੈ। ਜੇਕਰ ਦਿੱਤਾ ਗਿਆ ਹੈ, ਤਾਂ ਇਹ ਪਾਸਵਰਡ ਬਾਅਦ ਦੇ ਪੇਲੋਡਾਂ ਨੂੰ ਡੀਕ੍ਰਿਪਟ ਕਰਨ ਲਈ ਇੱਕ ਕ੍ਰਿਪਟੋਗ੍ਰਾਫਿਕ ਕੁੰਜੀ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਵਰਤਿਆ ਜਾਂਦਾ ਹੈ। ਹਮਲਾਵਰ ਕੋਲ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ ਪਹਿਲਾਂ ਤੋਂ ਮੌਜੂਦ ਨੈੱਟਵਰਕ ਪਹੁੰਚ ਸੀ, ਉਸ ਨੇ ਲੇਟਰਲ ਮੂਵਮੈਂਟ ਲਈ ਚੋਰੀ ਕੀਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਦੀ ਵਰਤੋਂ ਕੀਤੀ, ਅਤੇ ਸਰਵਰ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਜਾਣਬੁੱਝ ਕੇ ਕਾਰਵਾਈਆਂ ਕੀਤੀਆਂ।

ਦੂਜੇ ਪਾਸੇ, LunarMail ਨੂੰ ਬਰਛੇ-ਫਿਸ਼ਿੰਗ ਈਮੇਲਾਂ ਦੁਆਰਾ ਭੇਜੇ ਗਏ ਇੱਕ ਖਤਰਨਾਕ Microsoft Word ਦਸਤਾਵੇਜ਼ ਦੁਆਰਾ ਪ੍ਰਸਾਰਿਤ ਕੀਤਾ ਜਾਂਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ LunarLoader ਦੇ ਪੇਲੋਡ ਅਤੇ ਸੰਬੰਧਿਤ ਬੈਕਡੋਰ ਸ਼ਾਮਲ ਹੁੰਦੇ ਹਨ।

LunarWeb ਅਤੇ LunarMail Backdoors ਇੱਕ ਵਾਰ ਚੱਲਣ ਤੋਂ ਬਾਅਦ ਕਿਵੇਂ ਕੰਮ ਕਰਦੇ ਹਨ?

LunarWeb ਸਿਸਟਮ ਜਾਣਕਾਰੀ ਇਕੱਠੀ ਕਰਨ ਅਤੇ C&C ਸਰਵਰ ਤੋਂ ਪ੍ਰਾਪਤ JPG ਅਤੇ GIF ਚਿੱਤਰ ਫਾਈਲਾਂ ਦੇ ਅੰਦਰ ਏਮਬੇਡ ਕੀਤੀਆਂ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਦੇ ਸਮਰੱਥ ਹੈ। ਨਤੀਜਿਆਂ ਨੂੰ ਫਿਰ ਵਾਪਸ ਭੇਜਣ ਤੋਂ ਪਹਿਲਾਂ ਸੰਕੁਚਿਤ ਅਤੇ ਐਨਕ੍ਰਿਪਟ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ, LunarWeb ਆਪਣੇ ਨੈੱਟਵਰਕ ਟ੍ਰੈਫਿਕ ਨੂੰ ਜਾਇਜ਼ ਗਤੀਵਿਧੀਆਂ ਜਿਵੇਂ ਕਿ ਵਿੰਡੋਜ਼ ਅਪਡੇਟਾਂ ਵਰਗਾ ਭੇਸ ਦਿੰਦਾ ਹੈ।

C&C ਨਿਰਦੇਸ਼ LunarWeb ਨੂੰ ਸ਼ੈੱਲ ਅਤੇ PowerShell ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ, ਲੁਆ ਕੋਡ ਚਲਾਉਣ, ਫਾਈਲਾਂ ਵਿੱਚ ਹੇਰਾਫੇਰੀ ਕਰਨ, ਅਤੇ ਨਿਰਧਾਰਤ ਡਾਇਰੈਕਟਰੀਆਂ ਨੂੰ ਪੁਰਾਲੇਖ ਕਰਨ ਲਈ ਸਮਰੱਥ ਬਣਾਉਂਦੇ ਹਨ। ਇੱਕ ਹੋਰ ਇਮਪਲਾਂਟ, ਲੂਨਰਮੇਲ, ਸਮਾਨ ਕਾਰਜਸ਼ੀਲਤਾਵਾਂ ਰੱਖਦਾ ਹੈ ਪਰ ਆਉਟਲੁੱਕ ਨਾਲ ਏਕੀਕ੍ਰਿਤ ਕਰਕੇ ਅਤੇ PNG ਅਟੈਚਮੈਂਟਾਂ ਵਾਲੇ ਖਾਸ ਸੁਨੇਹਿਆਂ ਲਈ ਸਕੈਨਿੰਗ, ਈਮੇਲ ਦੁਆਰਾ ਇਸਦੇ C&C ਸਰਵਰ ਨਾਲ ਸੰਚਾਰ ਕਰਕੇ ਵਿਲੱਖਣ ਤੌਰ 'ਤੇ ਕੰਮ ਕਰਦਾ ਹੈ।

LunarMail ਦੀਆਂ ਕਮਾਂਡਾਂ ਵਿੱਚ C&C ਲਈ ਇੱਕ ਆਉਟਲੁੱਕ ਪ੍ਰੋਫਾਈਲ ਨੂੰ ਕੌਂਫਿਗਰ ਕਰਨਾ, ਆਪਹੁਦਰੇ ਪ੍ਰਕਿਰਿਆਵਾਂ ਨੂੰ ਸ਼ੁਰੂ ਕਰਨਾ, ਅਤੇ ਸਕ੍ਰੀਨਸ਼ਾਟ ਕੈਪਚਰ ਕਰਨਾ ਸ਼ਾਮਲ ਹੈ। ਇਹਨਾਂ ਕਾਰਵਾਈਆਂ ਤੋਂ ਆਉਟਪੁੱਟ ਨੂੰ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਇਨਬਾਕਸ ਵਿੱਚ ਈਮੇਲ ਅਟੈਚਮੈਂਟ ਵਜੋਂ ਭੇਜਣ ਤੋਂ ਪਹਿਲਾਂ PNG ਚਿੱਤਰਾਂ ਜਾਂ PDF ਦਸਤਾਵੇਜ਼ਾਂ ਵਿੱਚ ਛੁਪਾਇਆ ਜਾਂਦਾ ਹੈ।

LunarMail ਸਰਵਰਾਂ ਦੀ ਬਜਾਏ ਉਪਭੋਗਤਾ ਵਰਕਸਟੇਸ਼ਨਾਂ 'ਤੇ ਤੈਨਾਤੀ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਇੱਕ ਆਉਟਲੁੱਕ ਐਡ-ਇਨ ਦੇ ਤੌਰ 'ਤੇ ਕਾਇਮ ਹੈ। ਇਸ ਦੇ ਸੰਚਾਲਨ ਦੇ ਢੰਗ ਲਾਈਟਨਿਊਰੋਨ ਦੇ ਪ੍ਰਤੀਬਿੰਬ ਹਨ, ਇੱਕ ਹੋਰ ਟਰਲਾ ਬੈਕਡੋਰ ਜੋ C&C ਸੰਚਾਰਾਂ ਲਈ ਈਮੇਲ ਸੁਨੇਹਿਆਂ ਨੂੰ ਨਿਯੁਕਤ ਕਰਦਾ ਹੈ।