Zadné dvierka LunarWeb
Európske ministerstvo zahraničných vecí (MZV) a jeho tri diplomatické misie na Blízkom východe nedávno zasiahli nové zadné vrátka s názvom LunarWeb, ktoré predtým neboli zdokumentované. Okrem toho útočníci použili ďalší škodlivý nástroj s názvom LunarMail. Výskumníci so strednou istotou veria, že tento kybernetický útok je dielom ruskej kyberšpionážnej skupiny Turla, známej pod rôznymi prezývkami, vrátane Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos a Venomous Bear. Pripisovanie je založené na podobnosti v taktike pozorovanej v predchádzajúcich kampaniach spojených s týmto aktérom hrozby.
LunarWeb funguje na serveroch využívajúcich HTTP(S) na komunikáciu príkazov a riadenia (C&C), pričom svoju činnosť maskuje ako legitímne požiadavky. Na druhej strane LunarMail, nasadený na pracovných staniciach, zostáva trvalý ako doplnok Outlook a využíva e-mailové správy na komunikáciu C&C. Preskúmanie lunárnych artefaktov naznačuje, že mohli byť použité pri cielených útokoch už v roku 2020, prípadne ešte skôr.
Obsah
Turla APT je hlavnou hrozbou na scéne počítačovej kriminality
Turla, o ktorej sa zistilo, že je napojená na ruskú Federálnu bezpečnostnú službu (FSB), je pokročilá perzistentná hrozba (APT), o ktorej je známe, že je aktívna prinajmenšom od roku 1996. Má skúsenosti so zameraním na celý rad priemyselných odvetví od vlády, veľvyslanectiev, armády. , vzdelávanie, výskum a farmaceutický sektor.
Začiatkom roku 2024 bola objavená kybernetická špionážna skupina, ktorá útočila na poľské organizácie, aby distribuovala zadné vrátka s názvom TinyTurla-NG (TTNG). Skupina Turla je vytrvalým protivníkom s dlhou históriou aktivít. Ich pôvod, taktika a ciele naznačujú dobre financovanú operáciu s vysoko kvalifikovanými agentmi.
Infekčné vektory na dodanie zadného vrátka LunarWeb
Presná metóda použitá na porušenie MFA je v súčasnosti neznáma, existuje však podozrenie, že zahŕňa prvky spear-phishingu a zneužívania nesprávne nakonfigurovaného softvéru Zabbix. Predpokladá sa, že počiatočná fáza útoku začína kompilovanou verziou webovej stránky ASP.NET, ktorá slúži ako kanál na dekódovanie dvoch vložených blobov obsahujúcich LunarLoader (nakladač) a zadné vrátka LunarWeb.
V tomto procese pri prístupe na stránku očakáva heslo v súbore cookie s názvom SMSKey. Ak je zadané, toto heslo sa používa na odvodenie kryptografického kľúča na dešifrovanie následných dát. Útočník mal pravdepodobne už existujúci prístup k sieti, využil ukradnuté prihlasovacie údaje na bočný pohyb a úmyselne podnikol kroky na diskrétne kompromitovanie servera.
Na druhej strane sa LunarMail šíri prostredníctvom škodlivého dokumentu programu Microsoft Word odosielaného prostredníctvom e-mailov typu spear-phishing, ktoré zahŕňajú užitočné zaťaženie programu LunarLoader a súvisiace zadné vrátka.
Ako fungujú zadné dvierka LunarWeb a LunarMail po spustení?
LunarWeb je schopný zhromažďovať systémové informácie a vykonávať príkazy vložené do obrázkových súborov JPG a GIF prijatých zo servera C&C. Výsledky sú potom skomprimované a zašifrované pred odoslaním späť. Aby sa vyhol detekcii, LunarWeb maskuje svoju sieťovú prevádzku tak, aby pripomínala legitímne aktivity, ako sú aktualizácie systému Windows.
Pokyny C&C umožňujú LunarWebu spúšťať príkazy shellu a PowerShellu, spúšťať kód Lua, manipulovať so súbormi a archivovať určené adresáre. Ďalší implantát, LunarMail, má podobné funkcie, ale funguje jedinečne tým, že sa integruje s Outlookom a komunikuje s jeho C&C serverom prostredníctvom e-mailu, pričom skenuje špecifické správy obsahujúce prílohy PNG.
Príkazy programu LunarMail zahŕňajú konfiguráciu profilu programu Outlook pre C&C, spúšťanie ľubovoľných procesov a zachytávanie snímok obrazovky. Výstup z týchto akcií je skrytý v obrázkoch PNG alebo dokumentoch PDF pred odoslaním ako prílohy e-mailu do priečinka doručenej pošty ovládanej útočníkom.
LunarMail je navrhnutý na nasadenie na používateľských pracovných staniciach a nie na serveroch, pričom pretrváva ako doplnok programu Outlook. Jeho prevádzkové metódy odzrkadľujú metódy LightNeuron , ďalšieho zadného vrátka Turla, ktorý využíva e-mailové správy na komunikáciu C&C.
