LunarWeb பின்கதவு
ஒரு ஐரோப்பிய வெளியுறவு அமைச்சகம் (MFA) மற்றும் மத்திய கிழக்கில் உள்ள அதன் மூன்று தூதரகப் பணிகள் சமீபத்தில் LunarWeb எனப்படும் புதிய பின்கதவால் தாக்கப்பட்டன, இது முன்னர் ஆவணப்படுத்தப்படவில்லை. கூடுதலாக, தாக்குபவர்கள் LunarMail என அழைக்கப்படும் மற்றொரு தீங்கிழைக்கும் கருவியைப் பயன்படுத்தினர். அயர்ன் ஹண்டர், பென்சிவ் உர்சா, சீக்ரெட் பனிப்புயல், பாம்பு, உரோபுரோஸ் மற்றும் விஷ கரடி உள்ளிட்ட பல்வேறு மாற்றுப்பெயர்களால் அறியப்படும், ரஷ்யாவுடன் இணைந்த சைபர்ஸ்பியோனேஜ் குழுவான டர்லாவின் வேலை இது என்று ஆராய்ச்சியாளர்கள் நடுத்தர நம்பிக்கையுடன் நம்புகின்றனர். இந்த அச்சுறுத்தல் நடிகருடன் தொடர்புடைய முந்தைய பிரச்சாரங்களில் காணப்பட்ட தந்திரோபாயங்களில் உள்ள ஒற்றுமைகளை அடிப்படையாகக் கொண்டது.
LunarWeb அதன் கட்டளை மற்றும் கட்டுப்பாடு (C&C) தகவல்தொடர்புகளுக்கு HTTP(S) ஐப் பயன்படுத்தி சேவையகங்களில் செயல்படுகிறது, அதன் செயல்பாட்டை முறையான கோரிக்கைகளாக மறைக்கிறது. மறுபுறம், பணிநிலையங்களில் வரிசைப்படுத்தப்பட்ட LunarMail, Outlook ஆட்-இன் ஆக நிலைத்திருக்கும் மற்றும் அதன் C&C தகவல்தொடர்புகளுக்கு மின்னஞ்சல் செய்திகளைப் பயன்படுத்துகிறது. சந்திர கலைப் பொருட்களை ஆய்வு செய்தால், 2020 ஆம் ஆண்டிலேயே அல்லது அதற்கு முன்னதாகவே இலக்கு வைக்கப்பட்ட தாக்குதல்களில் அவை பயன்படுத்தப்பட்டிருக்கலாம் என்று தெரிவிக்கிறது.
பொருளடக்கம்
Turla APT சைபர் கிரைம் காட்சியில் ஒரு முக்கிய அச்சுறுத்தல் நடிகர்
துர்லா, ரஷ்யாவின் ஃபெடரல் செக்யூரிட்டி சர்வீஸுடன் (FSB) இணைந்ததாக மதிப்பிடப்பட்டுள்ளது, இது ஒரு மேம்பட்ட தொடர்ச்சியான அச்சுறுத்தலாகும் (APT), இது குறைந்தது 1996 முதல் செயல்படுவதாக அறியப்படுகிறது. இது அரசாங்கம், தூதரகங்கள், இராணுவம் என பல துறைகளை குறிவைத்து சாதனை படைத்துள்ளது. , கல்வி, ஆராய்ச்சி மற்றும் மருந்துத் துறைகள்.
முன்னதாக 2024 ஆம் ஆண்டில், சைபர் உளவு குழு TinyTurla-NG (TTNG) என்ற பின்கதவை விநியோகிக்க போலந்து அமைப்புகளைத் தாக்கியது கண்டுபிடிக்கப்பட்டது. துர்லா குழுவானது ஒரு நீண்ட வரலாற்றைக் கொண்ட ஒரு தொடர்ச்சியான எதிரியாகும். அவர்களின் தோற்றம், தந்திரோபாயங்கள் மற்றும் இலக்குகள் அனைத்தும் மிகவும் திறமையான செயல்பாட்டாளர்களுடன் நன்கு நிதியளிக்கப்பட்ட செயல்பாட்டைக் குறிக்கின்றன.
லூனார்வெப் பின்கதவின் டெலிவரிக்கான தொற்று வெக்டர்கள்
MFA ஐ மீறுவதற்குப் பயன்படுத்தப்படும் துல்லியமான முறை தற்போது அறியப்படவில்லை, ஆனால் இது ஸ்பியர்-ஃபிஷிங் மற்றும் தவறாக உள்ளமைக்கப்பட்ட Zabbix மென்பொருளின் சுரண்டலின் கூறுகளை உள்ளடக்கியதாக சந்தேகிக்கப்படுகிறது. தாக்குதலின் ஆரம்ப நிலை ASP.NET வலைப்பக்கத்தின் தொகுக்கப்பட்ட பதிப்பில் தொடங்கும் என நம்பப்படுகிறது, இது LunarLoader (ஒரு ஏற்றி) மற்றும் LunarWeb பின்கதவு ஆகியவற்றைக் கொண்ட இரண்டு உட்பொதிக்கப்பட்ட குமிழ்களை டிகோட் செய்வதற்கான ஒரு வழியாகச் செயல்படுகிறது.
இந்தச் செயல்பாட்டில், பக்கத்தை அணுகும்போது, அது SMSKey என்ற குக்கீயில் கடவுச்சொல்லை எதிர்பார்க்கிறது. வழங்கப்பட்டால், இந்த கடவுச்சொல், அடுத்தடுத்த பேலோடுகளை டிக்ரிப்ட் செய்வதற்கான கிரிப்டோகிராஃபிக் விசையைப் பெறப் பயன்படும். தாக்குபவர் ஏற்கனவே இருக்கும் நெட்வொர்க் அணுகலைப் பெற்றிருக்கலாம், பக்கவாட்டு இயக்கத்திற்காக திருடப்பட்ட நற்சான்றிதழ்களைப் பயன்படுத்தியிருக்கலாம், மேலும் சர்வரை விவேகத்துடன் சமரசம் செய்ய வேண்டுமென்றே நடவடிக்கை எடுத்திருக்கலாம்.
மறுபுறம், லூனார்மெயில் ஸ்பியர்-ஃபிஷிங் மின்னஞ்சல்கள் மூலம் அனுப்பப்படும் தீங்கிழைக்கும் மைக்ரோசாஃப்ட் வேர்ட் ஆவணம் மூலம் பரப்பப்படுகிறது, இதில் லூனார்லோடரின் பேலோடுகளும் அதனுடன் தொடர்புடைய பின்கதவும் அடங்கும்.
LunarWeb மற்றும் LunarMail பின் கதவுகள் ஒருமுறை செயல்படுத்தப்பட்டால் எப்படி செயல்படும்?
LunarWeb ஆனது சி&சி சர்வரிலிருந்து பெறப்பட்ட JPG மற்றும் GIF படக் கோப்புகளுக்குள் உள்ளமைக்கப்பட்ட கணினித் தகவலைச் சேகரிக்கும் மற்றும் கட்டளைகளை செயல்படுத்தும் திறன் கொண்டது. பின் அனுப்பப்படும் முன் முடிவுகள் சுருக்கப்பட்டு குறியாக்கம் செய்யப்படுகின்றன. கண்டறிதலைத் தவிர்ப்பதற்காக, விண்டோஸ் புதுப்பிப்புகள் போன்ற முறையான செயல்பாடுகளை ஒத்திருக்க, LunarWeb அதன் நெட்வொர்க் போக்குவரத்தை மறைக்கிறது.
C&C வழிமுறைகள் LunarWeb ஐ ஷெல் மற்றும் பவர்ஷெல் கட்டளைகளை இயக்கவும், Lua குறியீட்டை இயக்கவும், கோப்புகளை கையாளவும் மற்றும் குறிப்பிட்ட கோப்பகங்களை காப்பகப்படுத்தவும் உதவுகிறது. மற்றொரு உள்வைப்பு, LunarMail, இதே போன்ற செயல்பாடுகளைக் கொண்டுள்ளது, ஆனால் Outlook உடன் ஒருங்கிணைத்து அதன் C&C சர்வருடன் மின்னஞ்சல் மூலம் தொடர்புகொள்வதன் மூலம் தனித்துவமாக இயங்குகிறது, PNG இணைப்புகளைக் கொண்ட குறிப்பிட்ட செய்திகளை ஸ்கேன் செய்கிறது.
லூனார்மெயிலின் கட்டளைகளில் சி&சிக்கான அவுட்லுக் சுயவிவரத்தை உள்ளமைத்தல், தன்னிச்சையான செயல்முறைகளைத் தொடங்குதல் மற்றும் ஸ்கிரீன் ஷாட்களைப் படம்பிடித்தல் ஆகியவை அடங்கும். இந்தச் செயல்களின் வெளியீடு, தாக்குபவர் கட்டுப்படுத்தும் இன்பாக்ஸிற்கு மின்னஞ்சல் இணைப்புகளாக அனுப்பப்படுவதற்கு முன் PNG படங்கள் அல்லது PDF ஆவணங்களுக்குள் மறைக்கப்படும்.
LunarMail ஆனது சேவையகங்களை விட பயனர் பணிநிலையங்களில் வரிசைப்படுத்துவதற்காக வடிவமைக்கப்பட்டுள்ளது, இது அவுட்லுக் ஆட்-இன் ஆக தொடர்கிறது. C&C தகவல்தொடர்புகளுக்கான மின்னஞ்சல் செய்திகளைப் பயன்படுத்தும் மற்றொரு Turla பின்கதவான LightNeuron இன் செயல்பாட்டு முறைகளை பிரதிபலிக்கிறது.
