ЛунарВеб Бацкдоор
Европско министарство спољних послова (МФА) и његова три дипломатска представништва на Блиском истоку недавно су погођени новим бацкдоором под називом ЛунарВеб, који раније није био документован. Поред тога, нападачи су користили још једну злонамерну алатку, названу ЛунарМаил. Истраживачи са средњим самопоуздањем верују да је овај сајбер напад дело кибернетичке групе Турла која је повезана са Русијом, познате под разним псеудонима, укључујући Ирон Хунтер, Пенсиве Урса, Сецрет Близзард, Снаке, Уробурос и Веномоус Беар. Приписивање се заснива на сличностима у тактикама које су примећене у претходним кампањама повезаним са овим актером претње.
ЛунарВеб ради на серверима који користе ХТТП(С) за комуникацију на основу команде и контроле (Ц&Ц), прикривајући своју активност као легитимне захтеве. С друге стране, ЛунарМаил, распоређен на радним станицама, остаје упоран као додатак за Оутлоок и користи поруке е-поште за своје Ц&Ц комуникације. Испитивање лунарних артефаката сугерише да су они могли бити употребљени у циљаним нападима већ 2020. године, или можда чак и раније.
Преглед садржаја
Турла АПТ је главни актер претње на месту сајбер злочина
Турла, за коју се процењује да је повезана са руском Федералном службом безбедности (ФСБ), је напредна трајна претња (АПТ) за коју се зна да је активна најмање од 1996. године. Има искуство у циљању низа индустрија које обухватају владу, амбасаде, војску , образовање, истраживање и фармацеутски сектор.
Раније 2024. откривена је група за сајбер шпијунажу како напада пољске организације како би дистрибуирала бацкдоор под називом ТиниТурла-НГ (ТТНГ). Група Турла је упорни противник са дугом историјом активности. Њихово порекло, тактика и циљеви указују на добро финансирану операцију са високо квалификованим оперативцима.
Вектори инфекције за испоруку ЛунарВеб бацкдоор-а
Прецизна метода која је коришћена за кршење МФА тренутно је непозната, али се сумња да укључује елементе спеар-пхисхинга и експлоатације погрешно конфигурисаног Заббик софтвера. Верује се да почетна фаза напада почиње компајлираном верзијом АСП.НЕТ веб странице, која служи као канал за декодирање два уграђена блоб-а која садржи ЛунарЛоадер (учитавач) и ЛунарВеб бацкдоор.
У овом процесу, када се приступи страници, она очекује лозинку унутар колачића под називом СМСКеи. Ако је дата, ова лозинка се користи за извођење криптографског кључа за дешифровање наредних корисних података. Нападач је вероватно имао већ постојећи приступ мрежи, користио је украдене акредитиве за бочно кретање и предузео намерне радње да дискретно компромитује сервер.
С друге стране, ЛунарМаил се шири путем злонамерног Мицрософт Ворд документа који се шаље путем е-поште за крађу идентитета, који укључује корисне податке ЛунарЛоадер-а и придруженог бацкдоор-а.
Како функционишу позадинска врата ЛунарВеб и ЛунарМаил када се изврше?
ЛунарВеб је способан да прикупља системске информације и извршава команде уграђене у ЈПГ и ГИФ сликовне датотеке примљене са Ц&Ц сервера. Резултати се затим компримују и шифрују пре него што се пошаљу назад. Да би избегао откривање, ЛунарВеб прикрива свој мрежни саобраћај тако да личи на легитимне активности као што су ажурирања за Виндовс.
Ц&Ц инструкције омогућавају ЛунарВеб-у да изврши схелл и ПоверСхелл команде, покрене Луа код, манипулише датотекама и архивира одређене директоријуме. Други имплант, ЛунарМаил, поседује сличне функције, али функционише јединствено интеграцијом са Оутлоок-ом и комуникацијом са својим Ц&Ц сервером путем е-поште, скенирајући одређене поруке које садрже ПНГ прилоге.
Команде ЛунарМаил-а укључују конфигурисање Оутлоок профила за Ц&Ц, покретање произвољних процеса и прављење снимака екрана. Излаз из ових радњи је скривен у ПНГ сликама или ПДФ документима пре него што се пошаље као прилози е-поште у пријемно сандуче које контролише нападач.
ЛунарМаил је дизајниран за примену на корисничким радним станицама, а не на серверима, и остаје као Оутлоок додатак. Његове оперативне методе одражавају оне ЛигхтНеурона , још једног Турла бацкдоор-а који користи е-поруке за Ц&Ц комуникацију.
