LunarWeb బ్యాక్‌డోర్

యూరోపియన్ మినిస్ట్రీ ఆఫ్ ఫారిన్ అఫైర్స్ (MFA) మరియు మిడిల్ ఈస్ట్‌లోని దాని మూడు దౌత్య కార్యకలాపాలు ఇటీవల లూనార్‌వెబ్ అనే కొత్త బ్యాక్‌డోర్‌తో దెబ్బతిన్నాయి, ఇది ఇంతకు ముందు డాక్యుమెంట్ చేయబడలేదు. అదనంగా, దాడి చేసేవారు LunarMail అని పిలువబడే మరొక హానికరమైన సాధనాన్ని ఉపయోగించారు. ఐరన్ హంటర్, పెన్సివ్ ఉర్సా, సీక్రెట్ బ్లిజార్డ్, స్నేక్, ఉరోబురోస్ మరియు వెనోమస్ బేర్‌తో సహా పలు మారుపేర్లతో పిలువబడే ఈ సైబర్‌టాక్ రష్యా-అలైన్డ్ సైబర్‌స్పియోనేజ్ గ్రూప్ టర్లా యొక్క పని అని పరిశోధకులు మధ్యస్థ విశ్వాసంతో విశ్వసిస్తున్నారు. ఈ బెదిరింపు నటుడితో అనుబంధించబడిన మునుపటి ప్రచారాలలో గమనించిన వ్యూహాలలోని సారూప్యతలపై ఆపాదింపు ఆధారపడి ఉంటుంది.

LunarWeb దాని కమాండ్-అండ్-కంట్రోల్ (C&C) కమ్యూనికేషన్‌ల కోసం HTTP(S)ని ఉపయోగించి సర్వర్‌లపై పనిచేస్తుంది, దాని కార్యాచరణను చట్టబద్ధమైన అభ్యర్థనలుగా మారుస్తుంది. మరోవైపు, వర్క్‌స్టేషన్‌లలో అమలు చేయబడిన LunarMail, Outlook యాడ్-ఇన్‌గా స్థిరంగా ఉంటుంది మరియు దాని C&C కమ్యూనికేషన్‌ల కోసం ఇమెయిల్ సందేశాలను ఉపయోగిస్తుంది. లూనార్ కళాఖండాలను పరిశీలిస్తే, వారు 2020లోనే లేదా బహుశా అంతకుముందు కూడా లక్షిత దాడుల్లో పనిచేసి ఉండవచ్చని సూచిస్తున్నారు.

సైబర్ క్రైమ్ సీన్‌లో తుర్లా APT ఒక ప్రధాన బెదిరింపు నటుడు

తుర్లా, రష్యా యొక్క ఫెడరల్ సెక్యూరిటీ సర్వీస్ (FSB)తో అనుబంధంగా ఉన్నట్లు అంచనా వేయబడింది, ఇది కనీసం 1996 నుండి క్రియాశీలంగా ఉన్న ఒక అధునాతన పెర్సిస్టెంట్ థ్రెట్ (APT). ఇది ప్రభుత్వం, రాయబార కార్యాలయాలు, మిలిటరీలో విస్తరించి ఉన్న పరిశ్రమల శ్రేణిని లక్ష్యంగా చేసుకున్న ట్రాక్ రికార్డ్‌ను కలిగి ఉంది. , విద్య, పరిశోధన మరియు ఔషధ రంగాలు.

ఇంతకు ముందు 2024లో, సైబర్ గూఢచర్యం గ్రూప్ TinyTurla-NG (TTNG) పేరుతో బ్యాక్‌డోర్‌ను పంపిణీ చేయడానికి పోలిష్ సంస్థలపై దాడి చేయడం కనుగొనబడింది. తుర్ల సమూహం కార్యకలాపాల యొక్క సుదీర్ఘ చరిత్రతో నిరంతర విరోధి. వారి మూలాలు, వ్యూహాలు మరియు లక్ష్యాలు అన్నీ అత్యంత నైపుణ్యం కలిగిన కార్యకర్తలతో మంచి నిధులతో కూడిన ఆపరేషన్‌ను సూచిస్తాయి.

లూనార్‌వెబ్ బ్యాక్‌డోర్ డెలివరీ కోసం ఇన్ఫెక్షన్ వెక్టర్స్

MFAని ఉల్లంఘించడానికి ఉపయోగించే ఖచ్చితమైన పద్ధతి ప్రస్తుతం తెలియదు, అయితే ఇది స్పియర్-ఫిషింగ్ మరియు తప్పుగా కాన్ఫిగర్ చేయబడిన Zabbix సాఫ్ట్‌వేర్ యొక్క దోపిడీకి సంబంధించిన అంశాలను కలిగి ఉన్నట్లు అనుమానించబడింది. దాడి యొక్క ప్రారంభ దశ లూనార్‌లోడర్ (లోడర్) మరియు లూనార్‌వెబ్ బ్యాక్‌డోర్‌ను కలిగి ఉన్న రెండు ఎంబెడెడ్ బ్లాబ్‌లను డీకోడ్ చేయడానికి ఒక కండ్యూట్‌గా పనిచేసే ASP.NET వెబ్ పేజీ యొక్క సంకలన సంస్కరణతో ప్రారంభమవుతుందని నమ్ముతారు.

ఈ ప్రక్రియలో, పేజీని యాక్సెస్ చేసినప్పుడు, అది SMSKey అనే కుక్కీలో పాస్‌వర్డ్‌ను ఆశిస్తుంది. అందించినట్లయితే, ఈ పాస్‌వర్డ్ తదుపరి పేలోడ్‌లను డీక్రిప్ట్ చేయడానికి క్రిప్టోగ్రాఫిక్ కీని పొందేందుకు ఉపయోగించబడుతుంది. దాడి చేసే వ్యక్తి ముందుగా ఉన్న నెట్‌వర్క్ యాక్సెస్‌ను కలిగి ఉండవచ్చు, పార్శ్వ కదలిక కోసం దొంగిలించబడిన ఆధారాలను ఉపయోగించారు మరియు సర్వర్‌ను తెలివిగా రాజీ చేయడానికి ఉద్దేశపూర్వక చర్యలు తీసుకున్నారు.

మరోవైపు, లూనార్‌మెయిల్ స్పియర్-ఫిషింగ్ ఇమెయిల్‌ల ద్వారా పంపబడిన హానికరమైన మైక్రోసాఫ్ట్ వర్డ్ డాక్యుమెంట్ ద్వారా వ్యాప్తి చెందుతుంది, ఇందులో లూనార్‌లోడర్ యొక్క పేలోడ్‌లు మరియు అనుబంధిత బ్యాక్‌డోర్ ఉంటాయి.

లూనార్‌వెబ్ మరియు లూనార్‌మెయిల్ బ్యాక్‌డోర్‌లు ఒకసారి ఎగ్జిక్యూట్ చేసిన తర్వాత ఎలా పనిచేస్తాయి?

LunarWeb C&C సర్వర్ నుండి స్వీకరించబడిన JPG మరియు GIF ఇమేజ్ ఫైల్‌లలో పొందుపరిచిన సిస్టమ్ సమాచారాన్ని సేకరించి, ఆదేశాలను అమలు చేయగలదు. ఫలితాలు తిరిగి పంపబడే ముందు కుదించబడతాయి మరియు గుప్తీకరించబడతాయి. గుర్తించకుండా తప్పించుకోవడానికి, Windows నవీకరణల వంటి చట్టబద్ధమైన కార్యకలాపాలను పోలి ఉండేలా LunarWeb దాని నెట్‌వర్క్ ట్రాఫిక్‌ను మారువేషంలో ఉంచుతుంది.

C&C సూచనలు లూనార్‌వెబ్‌ను షెల్ మరియు పవర్‌షెల్ ఆదేశాలను అమలు చేయడానికి, లువా కోడ్‌ను అమలు చేయడానికి, ఫైల్‌లను మార్చడానికి మరియు పేర్కొన్న డైరెక్టరీలను ఆర్కైవ్ చేయడానికి అనుమతిస్తుంది. మరొక ఇంప్లాంట్, LunarMail, ఇలాంటి కార్యాచరణలను కలిగి ఉంది, అయితే Outlookతో ఏకీకృతం చేయడం ద్వారా మరియు ఇమెయిల్ ద్వారా దాని C&C సర్వర్‌తో కమ్యూనికేట్ చేయడం ద్వారా ప్రత్యేకంగా పనిచేస్తుంది, PNG జోడింపులను కలిగి ఉన్న నిర్దిష్ట సందేశాల కోసం స్కాన్ చేస్తుంది.

LunarMail ఆదేశాలలో C&C కోసం Outlook ప్రొఫైల్‌ను కాన్ఫిగర్ చేయడం, ఏకపక్ష ప్రక్రియలను ప్రారంభించడం మరియు స్క్రీన్‌షాట్‌లను సంగ్రహించడం వంటివి ఉన్నాయి. ఈ చర్యల నుండి అవుట్‌పుట్ అటాకర్-నియంత్రిత ఇన్‌బాక్స్‌కు ఇమెయిల్ జోడింపులుగా పంపబడే ముందు PNG చిత్రాలు లేదా PDF పత్రాలలో దాచబడుతుంది.

లూనార్‌మెయిల్ సర్వర్‌ల కంటే వినియోగదారు వర్క్‌స్టేషన్‌లలో విస్తరణ కోసం రూపొందించబడింది, ఇది Outlook యాడ్-ఇన్‌గా కొనసాగుతుంది. C&C కమ్యూనికేషన్‌ల కోసం ఇమెయిల్ సందేశాలను ఉపయోగించే మరొక Turla బ్యాక్‌డోర్ అయిన LightNeuron యొక్క దాని కార్యాచరణ పద్ధతులు ప్రతిబింబిస్తాయి.