Бекдор LunarWeb
Європейське міністерство закордонних справ (МЗС) і три його дипломатичні місії на Близькому Сході нещодавно постраждали від нового бекдору під назвою LunarWeb, який раніше не був задокументований. Крім того, зловмисники використовували інший шкідливий інструмент, який отримав назву LunarMail. Дослідники з середньою впевненістю вважають, що ця кібератака є роботою російської групи кібершпигунства Turla, відомої під різними псевдонімами, зокрема Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos і Venomous Bear. Атрибуція базується на схожості тактик, які спостерігалися в попередніх кампаніях, пов’язаних із цією загрозою.
LunarWeb працює на серверах, використовуючи HTTP(S) для своїх командно-контрольних (C&C) комунікацій, маскуючи свою діяльність під законні запити. З іншого боку, LunarMail, розгорнута на робочих станціях, залишається постійною як надбудова Outlook і використовує повідомлення електронної пошти для зв’язку C&C. Дослідження місячних артефактів припускає, що вони могли бути використані для цілеспрямованих атак ще в 2020 році або, можливо, навіть раніше.
Зміст
Turla APT є головною загрозою на сцені кіберзлочинності
Turla, яка, за оцінками, пов’язана з Федеральною службою безпеки Росії (ФСБ), є розширеною стійкою загрозою (APT), яка, як відомо, діє щонайменше з 1996 року. Вона має досвід націлювання на низку галузей, що охоплюють уряд, посольства, військові , освіти, досліджень і фармацевтики.
Раніше у 2024 році було виявлено групу кібершпигунства, яка атакувала польські організації з метою поширення бекдору під назвою TinyTurla-NG (TTNG). Угруповання «Турла» — стійкий супротивник із багаторічною історією діяльності. Їхнє походження, тактика та цілі вказують на добре фінансовану операцію з висококваліфікованими оперативниками.
Вектори інфекції для доставки бекдора LunarWeb
Точний метод, використаний для порушення MFA, наразі невідомий, але є підозри, що він включає в себе елементи фішингу та використання неправильно налаштованого програмного забезпечення Zabbix. Вважається, що початкова стадія атаки починається зі скомпільованої версії веб-сторінки ASP.NET, яка служить каналом для декодування двох вбудованих блобів, що містять LunarLoader (завантажувач) і бекдор LunarWeb.
У цьому процесі під час доступу до сторінки очікується пароль у файлі cookie під назвою SMSKey. Якщо надано, цей пароль використовується для отримання криптографічного ключа для дешифрування наступних корисних даних. Ймовірно, зловмисник уже мав доступ до мережі, використовував викрадені облікові дані для бокового переміщення та вживав навмисних дій, щоб непомітно скомпрометувати сервер.
З іншого боку, LunarMail поширюється через шкідливий документ Microsoft Word, надісланий через фішингові електронні листи, який містить корисні дані LunarLoader і пов’язаний бекдор.
Як працюють бекдори LunarWeb і LunarMail після запуску?
LunarWeb здатний збирати системну інформацію та виконувати команди, вбудовані у файли зображень JPG та GIF, отримані від C&C-сервера. Потім результати стискаються та шифруються перед надсиланням назад. Щоб уникнути виявлення, LunarWeb маскує свій мережевий трафік, щоб він нагадував законні дії, такі як оновлення Windows.
Інструкції C&C дозволяють LunarWeb виконувати команди оболонки та PowerShell, запускати код Lua, маніпулювати файлами та архівувати вказані каталоги. Інший імплантат, LunarMail, має подібні функції, але працює унікально завдяки інтеграції з Outlook і спілкуванню з його C&C сервером через електронну пошту, скануючи конкретні повідомлення, що містять вкладення PNG.
Команди LunarMail включають налаштування профілю Outlook для C&C, запуск довільних процесів і створення знімків екрана. Результати цих дій приховуються в зображеннях PNG або PDF-документах перед надсиланням у вигляді вкладень електронної пошти до папки вхідних повідомлень, контрольованої зловмисником.
LunarMail призначений для розгортання на робочих станціях користувачів, а не на серверах, і зберігається як надбудова Outlook. Його оперативні методи віддзеркалюють методи LightNeuron , іншого бекдору Turla, який використовує повідомлення електронної пошти для зв’язку C&C.
