LunarWeb 后门
欧洲外交部 (MFA) 及其在中东的三个外交使团最近遭到了名为 LunarWeb 的新后门的攻击,这种后门此前从未被记录过。此外,攻击者还使用了另一种名为 LunarMail 的恶意工具。研究人员有信心地认为,这次网络攻击是与俄罗斯结盟的网络间谍组织 Turla 所为,该组织有各种别名,包括 Iron Hunter、Pensive Ursa、Secret Blizzard、Snake、 Uroburos和 Venomous Bear。归因是基于在与此威胁行为者相关的先前活动中观察到的策略相似性。
LunarWeb 在使用 HTTP(S) 进行命令和控制 (C&C) 通信的服务器上运行,将其活动伪装成合法请求。另一方面,部署在工作站上的 LunarMail 以 Outlook 插件的形式保持持久性,并利用电子邮件进行 C&C 通信。对 Lunar 文物的检查表明,它们可能早在 2020 年甚至更早就被用于有针对性的攻击。
目录
Turla APT 是网络犯罪领域的主要威胁行为者
Turla 被评估为与俄罗斯联邦安全局 (FSB) 有关联,是一种高级持续性威胁 (APT),已知至少自 1996 年以来一直活跃。它曾针对政府、大使馆、军队、教育、研究和制药等一系列行业发起攻击。
2024 年初,该网络间谍组织被发现攻击波兰组织,以分发名为 TinyTurla-NG (TTNG) 的后门。Turla 组织是一个长期存在的对手,活动历史悠久。他们的起源、策略和目标都表明,这是一项资金充足的行动,拥有技术精湛的特工。
LunarWeb 后门的感染媒介
目前尚不清楚破坏 MFA 的具体方法,但怀疑涉及鱼叉式网络钓鱼和利用配置错误的 Zabbix 软件。据信攻击的初始阶段始于一个编译版本的 ASP.NET 网页,该网页充当解码两个嵌入 blob 的管道,其中包含 LunarLoader(加载器)和 LunarWeb 后门。
在此过程中,当访问页面时,它会在名为 SMSKey 的 cookie 中输入密码。如果提供了密码,则此密码用于派生用于解密后续有效负载的加密密钥。攻击者可能已经拥有网络访问权限,利用窃取的凭据进行横向移动,并采取故意行动谨慎地破坏服务器。
另一方面,LunarMail 通过鱼叉式网络钓鱼电子邮件发送的恶意 Microsoft Word 文档进行传播,其中包含 LunarLoader 和相关后门的有效载荷。
LunarWeb 和 LunarMail 后门一旦执行将如何运行?
LunarWeb 能够收集系统信息并执行从 C&C 服务器收到的 JPG 和 GIF 图像文件中嵌入的命令。然后对结果进行压缩和加密,然后再发送回去。为了逃避检测,LunarWeb 会伪装其网络流量,使其看起来像 Windows 更新等合法活动。
C&C 指令使 LunarWeb 能够执行 shell 和 PowerShell 命令、运行 Lua 代码、操作文件以及存档指定目录。另一种植入程序 LunarMail 具有类似的功能,但其操作方式独特,它与 Outlook 集成并通过电子邮件与其 C&C 服务器通信,扫描包含 PNG 附件的特定消息。
LunarMail 的命令包括为 C&C 配置 Outlook 配置文件、启动任意进程和捕获屏幕截图。这些操作的输出隐藏在 PNG 图像或 PDF 文档中,然后作为电子邮件附件发送到攻击者控制的收件箱。
LunarMail 旨在部署在用户工作站而非服务器上,以 Outlook 插件的形式存在。其操作方法与另一个 Turla 后门LightNeuron类似,后者利用电子邮件进行 C&C 通信。
