LunarWeb Backdoor
Un Minister european al Afacerilor Externe (MAE) și cele trei misiuni diplomatice ale sale din Orientul Mijlociu au fost lovite recent de o nouă ușă din spate numită LunarWeb, care nu fusese documentată înainte. În plus, atacatorii au folosit un alt instrument rău intenționat, numit LunarMail. Cercetătorii cred cu o încredere medie că acest atac cibernetic este opera grupului de spionaj cibernetic Turla, aliniat cu Rusia, cunoscut sub diferite pseudonime, inclusiv Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos și Venomous Bear. Atribuirea se bazează pe asemănări în tacticile observate în campaniile anterioare asociate cu acest actor de amenințare.
LunarWeb operează pe servere folosind HTTP(S) pentru comunicațiile sale de comandă și control (C&C), deghându-și activitatea ca solicitări legitime. Pe de altă parte, LunarMail, implementat pe stațiile de lucru, rămâne persistent ca supliment Outlook și utilizează mesaje de e-mail pentru comunicațiile C&C. O examinare a artefactelor lunare sugerează că acestea ar fi putut fi folosite în atacuri țintite încă din 2020, sau poate chiar mai devreme.
Cuprins
Turla APT este un actor cu amenințări majore pe scena crimei cibernetice
Turla, evaluată a fi afiliată la Serviciul Federal de Securitate (FSB) al Rusiei, este o amenințare persistentă avansată (APT) despre care se știe că este activă din cel puțin 1996. Are o experiență de a viza o serie de industrii, inclusiv guvern, ambasade, armată. , educație, cercetare și sectoare farmaceutice.
La începutul anului 2024, grupul de spionaj cibernetic a fost descoperit atacând organizații poloneze pentru a distribui o ușă din spate numită TinyTurla-NG (TTNG). Gruparea Turla este un adversar persistent cu o lunga istorie de activitati. Originile, tacticile și țintele lor indică toate o operațiune bine finanțată, cu agenți de înaltă calificare.
Vectori de infecție pentru livrarea ușii din spate LunarWeb
Metoda precisă utilizată pentru a încălca MFA este în prezent necunoscută, dar se suspectează că implică elemente de spear-phishing și exploatarea software-ului Zabbix configurat greșit. Se crede că etapa inițială a atacului începe cu o versiune compilată a unei pagini web ASP.NET, care servește drept canal pentru decodarea a două blob-uri încorporate care conțin LunarLoader (un încărcător) și backdoor LunarWeb.
În acest proces, când pagina este accesată, se așteaptă o parolă în cadrul unui cookie numit SMSKey. Dacă este furnizată, această parolă este utilizată pentru a obține o cheie criptografică pentru decriptarea încărcăturilor utile ulterioare. Atacatorul avea probabil acces la rețea preexistent, a folosit acreditări furate pentru deplasarea laterală și a întreprins acțiuni deliberate pentru a compromite serverul în mod discret.
Pe de altă parte, LunarMail este diseminat printr-un document Microsoft Word rău intenționat trimis prin e-mailuri de tip spear-phishing, care include încărcături utile de LunarLoader și backdoor-ul asociat.
Cum funcționează ușile din spate LunarWeb și LunarMail odată executate?
LunarWeb este capabil să adune informații despre sistem și să execute comenzi încorporate în fișierele de imagine JPG și GIF primite de la serverul C&C. Rezultatele sunt apoi comprimate și criptate înainte de a fi trimise înapoi. Pentru a evita detectarea, LunarWeb își maschează traficul de rețea pentru a semăna cu activități legitime, cum ar fi actualizările Windows.
Instrucțiunile C&C permit lui LunarWeb să execute comenzi shell și PowerShell, să ruleze cod Lua, să manipuleze fișiere și să arhiveze directoarele specificate. Un alt implant, LunarMail, posedă funcționalități similare, dar funcționează unic prin integrarea cu Outlook și comunicarea cu serverul său C&C prin e-mail, scanând mesaje specifice care conțin atașamente PNG.
Comenzile LunarMail includ configurarea unui profil Outlook pentru C&C, lansarea de procese arbitrare și capturarea de capturi de ecran. Rezultatele acestor acțiuni sunt ascunse în imagini PNG sau documente PDF înainte de a fi trimise ca atașamente de e-mail într-o căsuță de e-mail controlată de atacator.
LunarMail este proiectat pentru implementare pe stațiile de lucru ale utilizatorilor, mai degrabă decât pe servere, persistând ca un program de completare Outlook. Metodele sale operaționale o oglindesc pe cele ale LightNeuron , un alt backdoor Turla care folosește mesaje de e-mail pentru comunicațiile C&C.
