LunarWeb Arka Kapısı
Bir Avrupa Dışişleri Bakanlığı (MFA) ve Orta Doğu'daki üç diplomatik misyonu, yakın zamanda LunarWeb adı verilen ve daha önce belgelenmemiş yeni bir arka kapının saldırısına uğradı. Saldırganlar ayrıca LunarMail adı verilen başka bir kötü amaçlı araç da kullandı. Araştırmacılar, bu siber saldırının, Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos ve Venomous Bear gibi çeşitli takma adlarla bilinen, Rusya bağlantılı siber casusluk grubu Turla'nın işi olduğuna orta derecede bir güvenle inanıyor. İlişkilendirme, bu tehdit aktörüyle ilişkili önceki kampanyalarda gözlemlenen taktiklerdeki benzerliklere dayanmaktadır.
LunarWeb, Komuta ve Kontrol (C&C) iletişimleri için HTTP(S) kullanan sunucular üzerinde çalışır ve etkinliğini meşru istekler gibi gizler. Öte yandan, iş istasyonlarına dağıtılan LunarMail, bir Outlook eklentisi olarak kalıcı olmaya devam ediyor ve C&C iletişimleri için e-posta mesajlarını kullanıyor. Ay eserleri üzerinde yapılan bir inceleme, bunların 2020 gibi erken bir tarihte, hatta muhtemelen daha önce hedefli saldırılarda kullanılmış olabileceğini gösteriyor.
İçindekiler
Turla APT Siber Suç Ortamında Önemli Bir Tehdit Aktörüdür
Rusya Federal Güvenlik Servisi'ne (FSB) bağlı olduğu değerlendirilen Turla, en az 1996'dan bu yana aktif olduğu bilinen gelişmiş bir kalıcı tehdittir (APT). Hükümet, büyükelçilikler, askeriye gibi çeşitli sektörleri hedef alma konusunda bir geçmişi var. , eğitim, araştırma ve ilaç sektörleri.
2024'ün başlarında, siber casusluk grubunun TinyTurla-NG (TTNG) adlı bir arka kapıyı dağıtmak için Polonyalı kuruluşlara saldırdığı keşfedildi. Turla grubu uzun bir faaliyet geçmişine sahip inatçı bir rakiptir. Kökenleri, taktikleri ve hedefleri, yüksek vasıflı operatörlerin yer aldığı, iyi finanse edilen bir operasyona işaret ediyor.
LunarWeb Arka Kapısının Teslimatı için Enfeksiyon Vektörleri
MFA'yı ihlal etmek için kullanılan kesin yöntem şu anda bilinmiyor, ancak hedef odaklı kimlik avı unsurları ve yanlış yapılandırılmış Zabbix yazılımından yararlanma unsurlarını içerdiğinden şüpheleniliyor. Saldırının ilk aşamasının, LunarLoader (bir yükleyici) ve LunarWeb arka kapısını içeren iki gömülü bloğun kodunu çözmek için bir kanal görevi gören bir ASP.NET web sayfasının derlenmiş bir sürümüyle başladığına inanılıyor.
Bu işlemde sayfaya giriş yapıldığında SMSKey adlı çerez içerisinden şifre beklenmektedir. Sağlandığı takdirde bu parola, sonraki yüklerin şifresini çözmek için bir şifreleme anahtarı türetmek için kullanılır. Saldırganın muhtemelen önceden mevcut bir ağ erişimi vardı, yanal hareket için çalınan kimlik bilgilerini kullandı ve sunucuyu gizlice tehlikeye atmak için kasıtlı eylemlerde bulundu.
Öte yandan LunarMail, hedef odaklı kimlik avı e-postaları aracılığıyla gönderilen ve LunarLoader yüklerini ve ilgili arka kapıyı içeren kötü amaçlı bir Microsoft Word belgesi aracılığıyla yayılıyor.
LunarWeb ve LunarMail Arka Kapıları Çalıştırıldıktan Sonra Nasıl Çalışır?
LunarWeb, sistem bilgilerini toplama ve C&C sunucusundan alınan JPG ve GIF resim dosyalarına gömülü komutları yürütme kapasitesine sahiptir. Sonuçlar daha sonra geri gönderilmeden önce sıkıştırılır ve şifrelenir. LunarWeb, tespit edilmekten kaçınmak için ağ trafiğini, Windows güncellemeleri gibi yasal etkinliklere benzeyecek şekilde gizler.
C&C talimatları LunarWeb'in kabuk ve PowerShell komutlarını yürütmesine, Lua kodunu çalıştırmasına, dosyaları yönetmesine ve belirtilen dizinleri arşivlemesine olanak tanır. Başka bir implant olan LunarMail, benzer işlevlere sahiptir ancak Outlook ile entegre olarak ve e-posta yoluyla C&C sunucusuyla iletişim kurarak, PNG ekleri içeren belirli mesajları tarayarak benzersiz bir şekilde çalışır.
LunarMail'in komutları arasında C&C için bir Outlook profili yapılandırmak, isteğe bağlı işlemler başlatmak ve ekran görüntüleri yakalamak yer alır. Bu eylemlerin çıktıları, saldırganın kontrolündeki bir gelen kutusuna e-posta eki olarak gönderilmeden önce PNG görüntüleri veya PDF belgeleri içinde gizlenir.
LunarMail, sunucular yerine kullanıcı iş istasyonlarına dağıtılmak üzere tasarlanmıştır ve bir Outlook eklentisi olarak varlığını sürdürür. Operasyonel yöntemleri, C&C iletişimleri için e-posta mesajlarını kullanan bir başka Turla arka kapısı olan LightNeuron'unkileri yansıtıyor.
