LunarWeb Bakdörr
Ett europeiskt utrikesministerium (MFA) och dess tre diplomatiska beskickningar i Mellanöstern drabbades nyligen av en ny bakdörr som heter LunarWeb, som inte hade dokumenterats tidigare. Dessutom använde angripare ett annat skadligt verktyg, kallat LunarMail. Forskare tror med medelhög tillförsikt att den här cyberattacken är ett verk av den Rysslandsanslutna cyberspionagegruppen Turla, känd under olika alias, inklusive Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos och Venomous Bear. Tillskrivningen är baserad på likheter i taktik som observerats i tidigare kampanjer förknippade med denna hotaktör.
LunarWeb arbetar på servrar som använder HTTP(S) för sin Command-and-Control-kommunikation (C&C) och döljer dess aktivitet som legitima förfrågningar. Å andra sidan förblir LunarMail, utplacerat på arbetsstationer, beständigt som ett Outlook-tillägg och använder e-postmeddelanden för sin C&C-kommunikation. En undersökning av månens artefakter tyder på att de kunde ha använts i riktade attacker så tidigt som 2020, eller möjligen ännu tidigare.
Innehållsförteckning
Turla APT är en stor hotaktör på cyberbrottsscenen
Turla, som bedöms vara ansluten till Rysslands federala säkerhetstjänst (FSB), är ett avancerat ihållande hot (APT) som är känt för att vara aktivt sedan åtminstone 1996. Det har en erfarenhet av att rikta in sig på en rad branscher som spänner över regering, ambassader, militär. , utbildning, forskning och läkemedelssektorn.
Tidigare under 2024 upptäcktes cyberspionagegruppen attackera polska organisationer för att distribuera en bakdörr vid namn TinyTurla-NG (TTNG). Turlagruppen är en ihärdig motståndare med en lång historia av aktiviteter. Deras ursprung, taktik och mål tyder alla på en välfinansierad operation med mycket skickliga operatörer.
Infektionsvektorer för leverans av LunarWebs bakdörr
Den exakta metoden som används för att bryta mot MFA är för närvarande okänd, men den misstänks involvera inslag av spear-phishing och utnyttjande av felkonfigurerad Zabbix-programvara. Det inledande skedet av attacken tros börja med en kompilerad version av en ASP.NET-webbsida, som fungerar som en kanal för att avkoda två inbäddade blobbar som innehåller LunarLoader (en loader) och LunarWebs bakdörr.
I denna process, när sidan nås, förväntar den sig ett lösenord i en cookie som heter SMSKey. Om det tillhandahålls används detta lösenord för att härleda en kryptografisk nyckel för att dekryptera efterföljande nyttolaster. Angriparen hade sannolikt redan existerande nätverksåtkomst, använde stulna referenser för sidorörelse och vidtog medvetna åtgärder för att diskret äventyra servern.
Å andra sidan sprids LunarMail via ett skadligt Microsoft Word-dokument som skickas via spear-phishing-e-postmeddelanden, som inkluderar nyttolaster av LunarLoader och den tillhörande bakdörren.
Hur fungerar LunarWeb och LunarMails bakdörrar när de har körts?
LunarWeb kan samla systeminformation och utföra kommandon inbäddade i JPG- och GIF-bildfiler som tas emot från C&C-servern. Resultaten komprimeras sedan och krypteras innan de skickas ut igen. För att undvika upptäckt maskerar LunarWeb sin nätverkstrafik för att likna legitima aktiviteter som Windows-uppdateringar.
C&C-instruktionerna gör det möjligt för LunarWeb att köra skal- och PowerShell-kommandon, köra Lua-kod, manipulera filer och arkivera specificerade kataloger. Ett annat implantat, LunarMail, har liknande funktioner men fungerar unikt genom att integreras med Outlook och kommunicera med sin C&C-server via e-post, och skanna efter specifika meddelanden som innehåller PNG-bilagor.
LunarMails kommandon inkluderar att konfigurera en Outlook-profil för C&C, starta godtyckliga processer och ta skärmdumpar. Utdata från dessa åtgärder döljs i PNG-bilder eller PDF-dokument innan de skickas som e-postbilagor till en angriparkontrollerad inkorg.
LunarMail är designad för driftsättning på användararbetsstationer snarare än servrar, kvarstår som ett Outlook-tillägg. Dess operativa metoder speglar de hos LightNeuron , en annan Turla-bakdörr som använder e-postmeddelanden för C&C-kommunikation.
