LunarWeb Backdoor
Një Ministri e Punëve të Jashtme Evropiane (MPJ) dhe tre misionet e saj diplomatike në Lindjen e Mesme u goditën kohët e fundit nga një prapavijë e re e quajtur LunarWeb, e cila nuk ishte dokumentuar më parë. Për më tepër, sulmuesit përdorën një mjet tjetër me qëllim të keq, të quajtur LunarMail. Studiuesit besojnë me besim mesatar se ky sulm kibernetik është vepër e grupit të spiunazhit kibernetik Turla, i lidhur me Rusinë, i njohur me pseudonime të ndryshme, duke përfshirë Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos dhe Venomous Bear. Atribuimi bazohet në ngjashmëritë në taktikat e vërejtura në fushatat e mëparshme të lidhura me këtë aktor kërcënimi.
LunarWeb operon në serverë që përdorin HTTP(S) për komunikimet e tij Command-and-Control (C&C), duke maskuar aktivitetin e tij si kërkesa legjitime. Nga ana tjetër, LunarMail, i vendosur në stacionet e punës, mbetet i qëndrueshëm si një shtesë e Outlook dhe përdor mesazhet e emailit për komunikimet e tij C&C. Një ekzaminim i artefakteve hënore sugjeron se ato mund të ishin përdorur në sulme të synuara që në vitin 2020, ose ndoshta edhe më herët.
Tabela e Përmbajtjes
Turla APT është një aktor i madh i kërcënimit në skenën e krimit kibernetik
Turla, i vlerësuar të jetë i lidhur me Shërbimin Federal të Sigurisë të Rusisë (FSB), është një kërcënim i avancuar i vazhdueshëm (APT) që dihet se është aktiv që të paktën që nga viti 1996. Ajo ka një histori të shënjestruar të një sërë industrish që përfshijnë qeverinë, ambasadat, ushtrinë , sektorët e arsimit, kërkimit dhe farmaceutikës.
Më herët në vitin 2024, grupi i spiunazhit kibernetik u zbulua duke sulmuar organizatat polake për të shpërndarë një backdoor të quajtur TinyTurla-NG (TTNG). Grupi Turla është një kundërshtar i vazhdueshëm me një histori të gjatë aktivitetesh. Origjina, taktikat dhe objektivat e tyre tregojnë të gjitha një operacion të mirëfinancuar me operativë shumë të aftë.
Vektorët e infeksionit për dërgimin e derës së pasme të LunarWeb
Metoda e saktë e përdorur për të shkelur MPJ-në është aktualisht e panjohur, por dyshohet se përfshin elementë të spear-phishing dhe shfrytëzim të softuerit Zabbix të konfiguruar gabimisht. Faza fillestare e sulmit besohet të fillojë me një version të përpiluar të një faqe interneti ASP.NET, duke shërbyer si një kanal për të deshifruar dy blobs të ngulitura që përmbajnë LunarLoader (një ngarkues) dhe derën e pasme të LunarWeb.
Në këtë proces, kur aksesohet faqja, ajo pret një fjalëkalim brenda një cookie të quajtur SMSKey. Nëse ofrohet, ky fjalëkalim përdoret për të nxjerrë një çelës kriptografik për deshifrimin e ngarkesave të mëvonshme. Sulmuesi ka të ngjarë të ketë pasur qasje para-ekzistuese në rrjet, ka përdorur kredencialet e vjedhura për lëvizje anësore dhe ka ndërmarrë veprime të qëllimshme për të komprometuar serverin në mënyrë diskrete.
Nga ana tjetër, LunarMail shpërndahet përmes një dokumenti keqdashës të Microsoft Word të dërguar përmes postës elektronike spear-phishing, i cili përfshin ngarkesat e LunarLoader dhe derën e pasme të lidhur.
Si funksionojnë dyert e pasme të LunarWeb dhe LunarMail pasi të ekzekutohen?
LunarWeb është në gjendje të mbledhë informacione të sistemit dhe të ekzekutojë komanda të ngulitura brenda skedarëve të imazheve JPG dhe GIF të marra nga serveri C&C. Rezultatet më pas kompresohen dhe kodohen përpara se të dërgohen përsëri. Për të shmangur zbulimin, LunarWeb maskon trafikun e tij të rrjetit për t'iu ngjasuar aktiviteteve të ligjshme si përditësimet e Windows.
Udhëzimet C&C mundësojnë që LunarWeb të ekzekutojë komandat shell dhe PowerShell, të ekzekutojë kodin Lua, të manipulojë skedarët dhe të arkivojë drejtoritë e specifikuara. Një implant tjetër, LunarMail, posedon funksionalitete të ngjashme, por funksionon në mënyrë unike duke u integruar me Outlook dhe duke komunikuar me serverin e tij C&C përmes postës elektronike, duke skanuar për mesazhe specifike që përmbajnë bashkëngjitje PNG.
Komandat e LunarMail përfshijnë konfigurimin e një profili Outlook për C&C, nisjen e proceseve arbitrare dhe kapjen e pamjeve të ekranit. Rezultatet nga këto veprime fshihen brenda imazheve PNG ose dokumenteve PDF përpara se të dërgohen si bashkëngjitje emaili në një kuti hyrëse të kontrolluar nga sulmuesi.
LunarMail është krijuar për t'u vendosur në stacionet e punës të përdoruesve dhe jo në serverë, duke vazhduar si një shtesë e Outlook. Metodat e tij operacionale pasqyrojnë ato të LightNeuron , një tjetër porta e pasme e Turla që përdor mesazhe emaili për komunikimet C&C.
