LunarWeb Backdoor
Isang European Ministry of Foreign Affairs (MFA) at ang tatlong diplomatikong misyon nito sa Middle East ay tinamaan kamakailan ng isang bagong backdoor na tinatawag na LunarWeb, na hindi pa naidokumento noon. Bukod pa rito, gumamit ang mga umaatake ng isa pang nakakahamak na tool, na tinatawag na LunarMail. Naniniwala ang mga mananaliksik na may katamtamang kumpiyansa na ang cyberattack na ito ay gawa ng cyberespionage group na Turla na nakahanay sa Russia, na kilala sa iba't ibang mga alyas, kabilang ang Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos , at Venomous Bear. Ang pagpapatungkol ay batay sa pagkakatulad sa mga taktika na naobserbahan sa mga nakaraang kampanyang nauugnay sa aktor na ito ng pagbabanta.
Gumagana ang LunarWeb sa mga server na gumagamit ng HTTP(S) para sa Command-and-Control (C&C) na mga komunikasyon nito, na nagkukunwari sa aktibidad nito bilang mga lehitimong kahilingan. Sa kabilang banda, ang LunarMail, na naka-deploy sa mga workstation, ay nananatiling paulit-ulit bilang isang Outlook add-in at gumagamit ng mga mensaheng email para sa mga komunikasyong C&C nito. Ang pagsusuri sa mga Lunar artifact ay nagmumungkahi na maaari silang magamit sa mga naka-target na pag-atake noon pang 2020, o posibleng mas maaga pa.
Talaan ng mga Nilalaman
Ang Turla APT ay isang Major Threat Actor sa Cybercrime Scene
Ang Turla, na tinasang kaakibat ng Federal Security Service (FSB) ng Russia, ay isang advanced na persistent threat (APT) na kilalang aktibo mula pa noong 1996. Mayroon itong track record sa pag-target ng hanay ng mga industriya na sumasaklaw sa gobyerno, embahada, militar , edukasyon, pananaliksik, at mga sektor ng parmasyutiko.
Mas maaga noong 2024, natuklasan ang cyber espionage group na umaatake sa mga Polish na organisasyon upang ipamahagi ang isang backdoor na pinangalanang TinyTurla-NG (TTNG). Ang grupong Turla ay isang patuloy na kalaban na may mahabang kasaysayan ng mga aktibidad. Ang kanilang mga pinagmulan, taktika, at mga target ay lahat ay nagpapahiwatig ng isang mahusay na pinondohan na operasyon na may mataas na kasanayang mga operatiba.
Mga Infection Vector para sa Paghahatid ng LunarWeb Backdoor
Ang tumpak na paraan na ginamit upang labagin ang MFA ay kasalukuyang hindi alam, ngunit ito ay pinaghihinalaang may kinalaman sa mga elemento ng spear-phishing at pagsasamantala ng maling pagkaka-configure na software ng Zabbix. Ang paunang yugto ng pag-atake ay pinaniniwalaan na magsisimula sa isang pinagsama-samang bersyon ng isang ASP.NET web page, na nagsisilbing isang conduit para mag-decode ng dalawang naka-embed na blobs na naglalaman ng LunarLoader (isang loader) at ang LunarWeb backdoor.
Sa prosesong ito, kapag na-access ang page, inaasahan nito ang isang password sa loob ng cookie na pinangalanang SMSKey. Kung ibinigay, ang password na ito ay ginagamit upang makakuha ng cryptographic key para sa pag-decrypting ng mga kasunod na payload. Malamang na ang umaatake ay may dati nang pag-access sa network, gumamit ng mga ninakaw na kredensyal para sa pag-ilid na paggalaw, at gumawa ng mga sadyang aksyon upang makompromiso ang server nang maingat.
Sa kabilang banda, ang LunarMail ay ipinakalat sa pamamagitan ng isang nakakahamak na dokumento ng Microsoft Word na ipinadala sa pamamagitan ng mga email na spear-phishing, na kinabibilangan ng mga payload ng LunarLoader at ang nauugnay na backdoor.
Paano Gumagana ang LunarWeb at LunarMail Backdoors Kapag Naisakatuparan?
Ang LunarWeb ay may kakayahang mangalap ng impormasyon ng system at magsagawa ng mga command na naka-embed sa loob ng JPG at GIF image file na natanggap mula sa C&C server. Ang mga resulta ay i-compress at i-encrypt bago ibalik. Para makaiwas sa pagtuklas, itinago ng LunarWeb ang trapiko sa network nito upang maging katulad ng mga lehitimong aktibidad gaya ng mga update sa Windows.
Ang mga tagubilin sa C&C ay nagbibigay-daan sa LunarWeb na magsagawa ng mga shell at PowerShell command, magpatakbo ng Lua code, magmanipula ng mga file, at mag-archive ng mga tinukoy na direktoryo. Ang isa pang implant, ang LunarMail, ay nagtataglay ng mga katulad na functionality ngunit gumagana nang kakaiba sa pamamagitan ng pagsasama sa Outlook at pakikipag-ugnayan sa C&C server nito sa pamamagitan ng email, pag-scan para sa mga partikular na mensahe na naglalaman ng mga PNG attachment.
Kasama sa mga utos ng LunarMail ang pag-configure ng isang Outlook profile para sa C&C, paglulunsad ng mga arbitrary na proseso, at pagkuha ng mga screenshot. Ang output mula sa mga pagkilos na ito ay nakatago sa loob ng PNG na mga larawan o PDF na dokumento bago ipadala bilang mga email attachment sa isang inbox na kinokontrol ng attacker.
Ang LunarMail ay idinisenyo para sa pag-deploy sa mga workstation ng user kaysa sa mga server, na nagpapatuloy bilang isang add-in sa Outlook. Ang mga pamamaraan ng pagpapatakbo nito ay sumasalamin sa LightNeuron , isa pang Turla backdoor na gumagamit ng mga email na mensahe para sa mga komunikasyon sa C&C.
