Cửa sau LunarWeb
Bộ Ngoại giao Châu Âu (MFA) và ba cơ quan ngoại giao của họ ở Trung Đông gần đây đã bị tấn công bởi một cửa hậu mới có tên LunarWeb, chưa từng được ghi nhận trước đây. Ngoài ra, những kẻ tấn công còn sử dụng một công cụ độc hại khác có tên LunarMail. Các nhà nghiên cứu tin tưởng với độ tin cậy vừa phải rằng cuộc tấn công mạng này là tác phẩm của nhóm gián điệp mạng Turla liên kết với Nga, được biết đến với nhiều bí danh khác nhau, bao gồm Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos và Venomous Bear. Việc phân bổ dựa trên những điểm tương đồng trong chiến thuật được quan sát trong các chiến dịch trước đây có liên quan đến tác nhân đe dọa này.
LunarWeb hoạt động trên các máy chủ sử dụng HTTP(S) cho hoạt động liên lạc Lệnh và Kiểm soát (C&C), ngụy trang hoạt động của nó thành các yêu cầu hợp pháp. Mặt khác, LunarMail, được triển khai trên các máy trạm, vẫn tồn tại như một phần bổ trợ của Outlook và sử dụng các email để liên lạc C&C của nó. Việc kiểm tra các hiện vật trên Mặt trăng cho thấy rằng chúng có thể đã được sử dụng trong các cuộc tấn công có mục tiêu sớm nhất là vào năm 2020, hoặc thậm chí có thể sớm hơn.
Mục lục
Turla APT là tác nhân đe dọa chính trong bối cảnh tội phạm mạng
Turla, được đánh giá là có liên kết với Cơ quan An ninh Liên bang Nga (FSB), là một mối đe dọa dai dẳng (APT) cấp cao được biết là đã hoạt động ít nhất từ năm 1996. Nó có hồ sơ theo dõi nhắm mục tiêu vào một loạt các ngành bao gồm chính phủ, đại sứ quán, quân đội. lĩnh vực giáo dục, nghiên cứu và dược phẩm.
Trước đó vào năm 2024, nhóm gián điệp mạng bị phát hiện tấn công các tổ chức của Ba Lan nhằm phát tán backdoor có tên TinyTurla-NG (TTNG). Nhóm Turla là một đối thủ dai dẳng với lịch sử hoạt động lâu dài. Nguồn gốc, chiến thuật và mục tiêu của chúng đều cho thấy đây là một hoạt động được tài trợ tốt với các đặc vụ có tay nghề cao.
Các vectơ lây nhiễm để phân phối Backdoor LunarWeb
Phương pháp chính xác được sử dụng để vi phạm MFA hiện chưa được biết, nhưng nó bị nghi ngờ có liên quan đến các yếu tố lừa đảo trực tuyến và khai thác phần mềm Zabbix bị định cấu hình sai. Giai đoạn đầu của cuộc tấn công được cho là bắt đầu bằng một phiên bản được biên dịch của trang web ASP.NET, đóng vai trò là đường dẫn để giải mã hai đốm màu nhúng có chứa LunarLoader (một trình tải) và cửa sau LunarWeb.
Trong quá trình này, khi trang được truy cập, nó sẽ yêu cầu mật khẩu trong cookie có tên SMSKey. Nếu được cung cấp, mật khẩu này sẽ được sử dụng để lấy khóa mật mã nhằm giải mã các tải trọng tiếp theo. Kẻ tấn công có thể đã có quyền truy cập mạng từ trước, sử dụng thông tin xác thực bị đánh cắp để di chuyển sang bên và thực hiện các hành động có chủ ý để xâm phạm máy chủ một cách kín đáo.
Mặt khác, LunarMail được phát tán thông qua một tài liệu Microsoft Word độc hại được gửi qua các email lừa đảo trực tuyến, bao gồm tải trọng của LunarLoader và cửa hậu liên quan.
Backdoor LunarWeb và LunarMail hoạt động như thế nào sau khi được thực thi?
LunarWeb có khả năng thu thập thông tin hệ thống và thực thi các lệnh được nhúng trong tệp hình ảnh JPG và GIF nhận được từ máy chủ C&C. Kết quả sau đó được nén và mã hóa trước khi gửi trở lại. Để tránh bị phát hiện, LunarWeb ngụy trang lưu lượng truy cập mạng của mình để giống với các hoạt động hợp pháp như cập nhật Windows.
Các hướng dẫn C&C cho phép LunarWeb thực thi các lệnh shell và PowerShell, chạy mã Lua, thao tác với tệp và lưu trữ các thư mục được chỉ định. Một bộ cấy khác, LunarMail, sở hữu các chức năng tương tự nhưng hoạt động độc đáo bằng cách tích hợp với Outlook và liên lạc với máy chủ C&C của nó thông qua email, quét các thư cụ thể có chứa tệp đính kèm PNG.
Các lệnh của LunarMail bao gồm định cấu hình cấu hình Outlook cho C&C, khởi chạy các quy trình tùy ý và chụp ảnh màn hình. Đầu ra từ những hành động này được ẩn trong hình ảnh PNG hoặc tài liệu PDF trước khi được gửi dưới dạng tệp đính kèm email tới hộp thư đến do kẻ tấn công kiểm soát.
LunarMail được thiết kế để triển khai trên máy trạm của người dùng thay vì máy chủ, tồn tại dưới dạng phần bổ trợ của Outlook. Các phương thức hoạt động của nó phản ánh phương thức hoạt động của LightNeuron , một cửa hậu khác của Turla sử dụng email để liên lạc C&C.
