Zadnja vrata LunarWeb
Evropsko ministrstvo za zunanje zadeve (MZZ) in njegova tri diplomatska predstavništva na Bližnjem vzhodu so nedavno prizadela nova stranska vrata, imenovana LunarWeb, ki prej niso bila dokumentirana. Poleg tega so napadalci uporabili še eno zlonamerno orodje, imenovano LunarMail. Raziskovalci s srednjo stopnjo zaupanja verjamejo, da je ta kibernetski napad delo kibernetske vohunske skupine Turla, ki je povezana z Rusijo, znana pod različnimi vzdevki, vključno z Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos in Venomous Bear. Pripisovanje temelji na podobnostih taktik, opaženih v prejšnjih kampanjah, povezanih s tem akterjem grožnje.
LunarWeb deluje na strežnikih, ki uporabljajo HTTP(S) za svojo komunikacijo ukazov in nadzora (C&C), pri čemer svojo dejavnost prikrijejo kot legitimne zahteve. Po drugi strani LunarMail, nameščen na delovnih postajah, ostaja obstojen kot Outlookov dodatek in uporablja e-poštna sporočila za svoje C&C komunikacije. Preiskava lunarnih artefaktov kaže, da bi jih lahko uporabili za ciljane napade že leta 2020 ali morda celo prej.
Kazalo
Turla APT je glavna grožnja na prizorišču kibernetske kriminalitete
Turla, za katero ocenjujejo, da je povezana z rusko zvezno varnostno službo (FSB), je napredna vztrajna grožnja (APT), za katero je znano, da je aktivna vsaj od leta 1996. Ima izkušnje s ciljanjem na vrsto industrij, ki zajemajo vlado, veleposlaništva, vojsko , izobraževalni, raziskovalni in farmacevtski sektor.
V začetku leta 2024 je bila odkrita kibernetska vohunska skupina, ki je napadala poljske organizacije, da bi distribuirala stranska vrata z imenom TinyTurla-NG (TTNG). Skupina Turla je vztrajen nasprotnik z dolgo zgodovino delovanja. Njihov izvor, taktike in cilji kažejo na dobro financirano operacijo z visoko usposobljenimi operativci.
Vektorji okužbe za dostavo stranskih vrat LunarWeb
Natančna metoda, uporabljena za kršitev MFA, trenutno ni znana, vendar se sumi, da vključuje elemente podvodnega lažnega predstavljanja in izkoriščanje napačno konfigurirane programske opreme Zabbix. Začetna faza napada naj bi se začela s prevedeno različico spletne strani ASP.NET, ki služi kot kanal za dekodiranje dveh vdelanih blobov, ki vsebujeta LunarLoader (nalagalnik) in stranska vrata LunarWeb.
V tem procesu ob dostopu do strani pričakuje geslo v piškotku z imenom SMSKey. Če je na voljo, se to geslo uporablja za pridobitev kriptografskega ključa za dešifriranje naslednjih koristnih podatkov. Napadalec je verjetno že imel dostop do omrežja, uporabil je ukradene poverilnice za bočno premikanje in izvedel namerna dejanja, da bi diskretno ogrozil strežnik.
Po drugi strani se LunarMail razširja prek zlonamernega dokumenta Microsoft Word, poslanega prek e-poštnih sporočil z lažnim predstavljanjem, ki vključuje koristne podatke LunarLoaderja in z njim povezana stranska vrata.
Kako delujejo zakulisna vrata LunarWeb in LunarMail, ko se izvedejo?
LunarWeb je sposoben zbirati sistemske informacije in izvajati ukaze, vdelane v slikovne datoteke JPG in GIF, prejete s strežnika C&C. Rezultati se nato stisnejo in šifrirajo, preden se pošljejo nazaj. Da bi se izognil zaznavanju, LunarWeb prikrije svoj omrežni promet tako, da je podoben legitimnim dejavnostim, kot so posodobitve sistema Windows.
Navodila C&C omogočajo LunarWebu, da izvaja ukaze lupine in PowerShell, izvaja kodo Lua, manipulira z datotekami in arhivira določene imenike. Drugi vsadek, LunarMail, ima podobne funkcije, vendar deluje edinstveno z integracijo z Outlookom in komunikacijo z njegovim C&C strežnikom prek e-pošte, skeniranje določenih sporočil, ki vsebujejo priloge PNG.
Ukazi LunarMaila vključujejo konfiguriranje Outlookovega profila za C&C, zagon poljubnih procesov in zajemanje posnetkov zaslona. Izhod teh dejanj je skrit v slikah PNG ali dokumentih PDF, preden se pošljejo kot e-poštne priloge v mapo »Prejeto«, ki jo nadzoruje napadalec.
LunarMail je zasnovan za uporabo na uporabniških delovnih postajah in ne na strežnikih ter vztraja kot Outlookov dodatek. Njegove operativne metode zrcalijo metode LightNeurona , še enega Turlinega backdoora, ki uporablja e-poštna sporočila za komunikacijo C&C.
