Бэкдор LunarWeb
Министерство иностранных дел Европы (МИД) и три его дипломатические миссии на Ближнем Востоке недавно подверглись атаке нового бэкдора под названием LunarWeb, который ранее не был задокументирован. Кроме того, злоумышленники использовали еще один вредоносный инструмент, получивший название LunarMail. Исследователи со средней степенью уверенности полагают, что эта кибератака является делом рук связанной с Россией кибершпионской группы Turla, известной под разными псевдонимами, включая «Железный охотник», «Задумчивая медведица», «Секретная метель», «Змея», «Уробурос» и «Ядовитый медведь». Атрибуция основана на сходстве тактики, наблюдавшейся в предыдущих кампаниях, связанных с этим злоумышленником.
LunarWeb работает на серверах, используя HTTP(S) для связи в системе управления и контроля (C&C), маскируя свою деятельность под законные запросы. С другой стороны, LunarMail, развернутый на рабочих станциях, остается постоянным в качестве надстройки Outlook и использует сообщения электронной почты для связи с C&C. Исследование лунных артефактов позволяет предположить, что они могли быть использованы в целенаправленных атаках уже в 2020 году, а возможно, и раньше.
Оглавление
Turla APT — главный игрок в сфере киберпреступлений
Turla, по оценкам, связанная с Федеральной службой безопасности (ФСБ) России, представляет собой сложную постоянную угрозу (APT), о которой известно, что она активна, по крайней мере, с 1996 года. Она имеет опыт нападения на целый ряд отраслей, включая правительство, посольства, военные , образование, исследования и фармацевтический сектор.
Ранее в 2024 году была обнаружена группа кибершпионажа, атакующая польские организации с целью распространения бэкдора под названием TinyTurla-NG (TTNG). Группа Turla — стойкий противник с давней историей деятельности. Их происхождение, тактика и цели указывают на хорошо финансируемую операцию с высококвалифицированными оперативниками.
Векторы заражения для доставки бэкдора LunarWeb
Точный метод, использованный для взлома MFA, в настоящее время неизвестен, но есть подозрения, что он включает элементы целевого фишинга и эксплуатацию неправильно настроенного программного обеспечения Zabbix. Предполагается, что начальный этап атаки начинается с скомпилированной версии веб-страницы ASP.NET, служащей каналом для декодирования двух встроенных больших двоичных объектов, содержащих LunarLoader (загрузчик) и бэкдор LunarWeb.
В этом процессе при доступе к странице ожидается ввод пароля в файле cookie с именем SMSKey. Если этот пароль указан, он используется для получения криптографического ключа для расшифровки последующих полезных данных. Злоумышленник, вероятно, уже имел доступ к сети, использовал украденные учетные данные для горизонтального перемещения и предпринял преднамеренные действия для незаметной компрометации сервера.
С другой стороны, LunarMail распространяется через вредоносный документ Microsoft Word, отправляемый через фишинговые электронные письма, который включает полезные данные LunarLoader и связанный с ним бэкдор.
Как бэкдоры LunarWeb и LunarMail работают после запуска?
LunarWeb способен собирать системную информацию и выполнять команды, встроенные в файлы изображений JPG и GIF, полученные с C&C-сервера. Затем результаты сжимаются и шифруются перед отправкой обратно. Чтобы избежать обнаружения, LunarWeb маскирует свой сетевой трафик, чтобы он напоминал законные действия, такие как обновления Windows.
Инструкции C&C позволяют LunarWeb выполнять команды оболочки и PowerShell, запускать код Lua, манипулировать файлами и архивировать указанные каталоги. Другой имплант, LunarMail, обладает аналогичными функциями, но работает уникально, интегрируясь с Outlook и взаимодействуя с его командным сервером через электронную почту, сканируя определенные сообщения, содержащие вложения PNG.
Команды LunarMail включают настройку профиля Outlook для C&C, запуск произвольных процессов и создание снимков экрана. Результаты этих действий скрываются в изображениях PNG или PDF-документах перед отправкой в виде вложений электронной почты в почтовый ящик, контролируемый злоумышленником.
LunarMail предназначен для развертывания на рабочих станциях пользователей, а не на серверах, и сохраняется в виде надстройки Outlook. Его методы работы повторяют методы LightNeuron , еще одного бэкдора Turla, который использует сообщения электронной почты для связи с C&C.
