Backdoor LunarWeb
Europejskie Ministerstwo Spraw Zagranicznych (MSZ) i jego trzy misje dyplomatyczne na Bliskim Wschodzie zostały niedawno zaatakowane przez nowego backdoora o nazwie LunarWeb, który nie był wcześniej udokumentowany. Ponadto napastnicy wykorzystali inne złośliwe narzędzie o nazwie LunarMail. Badacze są przekonani ze średnią pewnością, że ten cyberatak jest dziełem powiązanej z Rosją grupy cyberszpiegowskiej Turla, znanej pod różnymi pseudonimami, w tym Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos i Venomous Bear. Atrybucja opiera się na podobieństwach taktyk zaobserwowanych w poprzednich kampaniach powiązanych z tym ugrupowaniem zagrażającym.
LunarWeb działa na serwerach korzystających z protokołu HTTP(S) do komunikacji typu Command-and-Control (C&C), maskując swoją aktywność jako uzasadnione żądania. Z drugiej strony LunarMail wdrożony na stacjach roboczych pozostaje trwały jako dodatek do Outlooka i wykorzystuje wiadomości e-mail do komunikacji C&C. Badanie artefaktów księżycowych sugeruje, że mogły zostać wykorzystane w atakach ukierunkowanych już w 2020 r., a być może nawet wcześniej.
Spis treści
Turla APT jest głównym czynnikiem zagrożenia na scenie cyberprzestępczości
Turla, uznawana za powiązaną z Rosyjską Federalną Służbą Bezpieczeństwa (FSB), to zaawansowane trwałe zagrożenie (APT), o którym wiadomo, że jest aktywne co najmniej od 1996 r. Ma doświadczenie w atakowaniu szeregu branż, w tym instytucji rządowych, ambasad, wojska , edukacji, badań i sektora farmaceutycznego.
Na początku 2024 r. odkryto, że grupa cyberszpiegowska atakowała polskie organizacje w celu dystrybucji backdoora o nazwie TinyTurla-NG (TTNG). Grupa Turla to wytrwały przeciwnik z długą historią działania. Ich pochodzenie, taktyka i cele wskazują na dobrze finansowaną operację z udziałem wysoko wykwalifikowanych agentów.
Wektory infekcji odpowiedzialne za dostarczanie backdoora LunarWeb
Dokładna metoda wykorzystana do naruszenia MFA nie jest obecnie znana, ale podejrzewa się, że obejmuje ona elementy spear-phishingu i wykorzystania źle skonfigurowanego oprogramowania Zabbix. Uważa się, że początkowy etap ataku rozpoczyna się od skompilowanej wersji strony internetowej ASP.NET, która służy jako kanał do dekodowania dwóch osadzonych obiektów BLOB zawierających program LunarLoader (program ładujący) i backdoora LunarWeb.
W tym procesie, gdy strona jest odwiedzana, oczekuje hasła zawartego w pliku cookie o nazwie SMSKey. Jeśli zostanie podane, hasło to służy do uzyskania klucza kryptograficznego do odszyfrowania kolejnych ładunków. Osoba atakująca prawdopodobnie miała wcześniej dostęp do sieci, wykorzystała skradzione dane uwierzytelniające do ruchu bocznego i podjęła celowe działania, aby dyskretnie złamać zabezpieczenia serwera.
Z drugiej strony LunarMail jest rozpowszechniany za pośrednictwem złośliwego dokumentu Microsoft Word wysyłanego za pośrednictwem wiadomości e-mail typu spear-phishing, który zawiera ładunki programu LunarLoader i powiązanego z nim backdoora.
Jak działają backdoory LunarWeb i LunarMail po uruchomieniu?
LunarWeb jest w stanie zbierać informacje o systemie i wykonywać polecenia osadzone w plikach obrazów JPG i GIF otrzymanych z serwera C&C. Wyniki są następnie kompresowane i szyfrowane przed ponownym wysłaniem. Aby uniknąć wykrycia, LunarWeb maskuje swój ruch sieciowy, aby przypominał legalne działania, takie jak aktualizacje systemu Windows.
Instrukcje C&C umożliwiają LunarWeb wykonywanie poleceń powłoki i PowerShell, uruchamianie kodu Lua, manipulowanie plikami i archiwizowanie określonych katalogów. Inny implant, LunarMail, posiada podobne funkcjonalności, ale działa wyjątkowo, integrując się z programem Outlook i komunikując się z serwerem C&C za pośrednictwem poczty elektronicznej, skanując w poszukiwaniu określonych wiadomości zawierających załączniki w formacie PNG.
Polecenia LunarMail obejmują konfigurowanie profilu Outlooka dla C&C, uruchamianie dowolnych procesów i przechwytywanie zrzutów ekranu. Dane wyjściowe tych działań są ukrywane w obrazach PNG lub dokumentach PDF przed wysłaniem jako załączniki do wiadomości e-mail do skrzynki odbiorczej kontrolowanej przez osobę atakującą.
LunarMail jest przeznaczony do wdrażania na stacjach roboczych użytkowników, a nie na serwerach i działa jako dodatek do Outlooka. Jego metody operacyjne odzwierciedlają metody LightNeurona , kolejnego backdoora Turla, który wykorzystuje wiadomości e-mail do komunikacji C&C.
