LunarWeb Backdoor
Um Ministério Europeu dos Negócios Estrangeiros (MFA) e as suas três missões diplomáticas no Médio Oriente foram recentemente atingidos por uma nova backdoor chamada LunarWeb, que não tinha sido documentada antes. Além disso, os invasores usaram outra ferramenta maliciosa, chamada LunarMail. Os pesquisadores acreditam com confiança média que este ataque cibernético é obra do grupo de espionagem cibernética Turla, alinhado à Rússia, conhecido por vários pseudônimos, incluindo Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos e Venomous Bear. A atribuição é baseada em semelhanças nas táticas observadas em campanhas anteriores associadas a este ator de ameaça.
O LunarWeb opera em servidores que usam HTTP(S) para suas comunicações de Comando e Controle (C&C), disfarçando sua atividade como solicitações legítimas. Por outro lado, o LunarMail, implantado em estações de trabalho, permanece persistente como um complemento do Outlook e utiliza mensagens de e-mail para suas comunicações C&C. Um exame dos artefactos lunares sugere que estes poderiam ter sido utilizados em ataques direccionados já em 2020, ou possivelmente até antes.
Índice
O Turla APT é um Grande Autor de Ameaça no Cenário do Crime Cibernético
Turla, avaliado como afiliado ao Serviço Federal de Segurança (FSB) da Rússia, é uma ameaça persistente avançada (APT) que está ativa desde pelo menos 1996. Tem um histórico de atingir uma série de indústrias que abrangem governos, embaixadas, militares , educação, pesquisa e setores farmacêuticos.
No início de 2024, o grupo de espionagem cibernética foi descoberto atacando organizações polonesas para distribuir um backdoor chamado TinyTurla-NG (TTNG). O grupo Turla é um adversário persistente com um longo histórico de atividades. Suas origens, táticas e alvos indicam uma operação bem financiada com agentes altamente qualificados.
Vetores de Infecção para a Entrega do LunarWeb Backdoor
O método preciso usado para violar o MFA é atualmente desconhecido, mas suspeita-se que envolva elementos de spear-phishing e exploração de software Zabbix mal configurado. Acredita-se que o estágio inicial do ataque comece com uma versão compilada de uma página da web ASP.NET, servindo como um canal para decodificar dois blobs incorporados contendo LunarLoader (um carregador) e o backdoor LunarWeb.
Neste processo, quando a página é acessada, ela espera uma senha dentro de um cookie denominado SMSKey. Se fornecida, essa senha será usada para derivar uma chave criptográfica para descriptografar cargas subsequentes. O invasor provavelmente tinha acesso à rede pré-existente, utilizou credenciais roubadas para movimentação lateral e tomou ações deliberadas para comprometer o servidor discretamente.
Por outro lado, o LunarMail é disseminado através de um documento malicioso do Microsoft Word enviado através de e-mails de spear-phishing, que inclui cargas úteis do LunarLoader e o backdoor associado.
Como os Backdoors LunarWeb e LunarMail Funcionam depois de Executados?
O LunarWeb é capaz de coletar informações do sistema e executar comandos incorporados em arquivos de imagem JPG e GIF recebidos do servidor C&C. Os resultados são então compactados e criptografados antes de serem enviados de volta. Para evitar a detecção, o LunarWeb disfarça seu tráfego de rede para se assemelhar a atividades legítimas, como atualizações do Windows.
As instruções C&C permitem que o LunarWeb execute comandos shell e PowerShell, execute código Lua, manipule arquivos e arquive diretórios especificados. Outro implante, o LunarMail, possui funcionalidades semelhantes, mas opera exclusivamente integrando-se ao Outlook e comunicando-se com seu servidor C&C por e-mail, verificando mensagens específicas contendo anexos PNG.
Os comandos do LunarMail incluem a configuração de um perfil do Outlook para C&C, o lançamento de processos arbitrários e a captura de capturas de tela. O resultado dessas ações fica oculto em imagens PNG ou documentos PDF antes de serem enviados como anexos de e-mail para uma caixa de entrada controlada pelo invasor.
O LunarMail foi projetado para implantação em estações de trabalho de usuários em vez de servidores, persistindo como um suplemento do Outlook. Seus métodos operacionais refletem os do LightNeuron, outro backdoor Turla que emprega mensagens de e-mail para comunicações C&C.
