LunarWeb後門
歐洲外交部 (MFA) 及其駐中東的三個外交使團最近受到名為 LunarWeb 的新後門的攻擊,該後門以前從未有過記錄。此外,攻擊者還使用了另一個惡意工具,稱為 LunarMail。研究人員有中等信心地認為,這次網路攻擊是與俄羅斯結盟的網路間諜組織 Turla 所為,該組織有各種別名,包括 Iron Hunter、Peptic Ursa、Secret Blizzard、Snake、 Uroburos和 Venomous Bear。此歸因是基於先前與該威脅行為者相關的活動中觀察到的策略相似性。
LunarWeb 在使用 HTTP(S) 進行命令與控制 (C&C) 通訊的伺服器上運行,將其活動偽裝成合法請求。另一方面,部署在工作站上的 LunarMail 仍然作為 Outlook 插件持續存在,並利用電子郵件進行 C&C 通訊。對月球文物的檢查表明,它們最早可能在 2020 年甚至更早的時候就被用於有針對性的攻擊。
目錄
Turla APT 是網路犯罪現場的主要威脅者
Turla 隸屬於俄羅斯聯邦安全局 (FSB),是一種高級持續性威脅 (APT),已知至少自 1996 年以來就一直活躍。 、研究和製藥部門。
2024 年初,該網路間諜組織被發現攻擊波蘭組織並分發名為 TinyTurla-NG (TTNG) 的後門。圖拉組織是個頑固的對手,其活動歷史悠久。他們的起源、戰術和目標都顯示他們的行動資金雄厚,操作人員技術精湛。
用於傳播 LunarWeb 後門的感染載體
目前尚不清楚用於破壞 MFA 的精確方法,但懷疑涉及魚叉式網路釣魚和利用錯誤配置的 Zabbix 軟體的元素。據信,攻擊的初始階段從 ASP.NET 網頁的編譯版本開始,充當解碼兩個包含 LunarLoader(載入器)和 LunarWeb 後門的嵌入 blob 的管道。
在此過程中,當造訪頁面時,它需要一個名為 SMSKey 的 cookie 中的密碼。如果提供,該密碼將用於派生用於解密後續有效負載的加密金鑰。攻擊者可能擁有預先存在的網路存取權限,利用竊取的憑證進行橫向移動,並採取故意行動來謹慎地破壞伺服器。
另一方面,LunarMail 透過魚叉式網路釣魚電子郵件發送的惡意 Microsoft Word 文件進行傳播,其中包含 LunarLoader 的有效負載和相關後門。
LunarWeb和LunarMail後門執行後如何運作?
LunarWeb 能夠收集系統資訊並執行嵌入在從 C&C 伺服器接收的 JPG 和 GIF 影像檔案中的命令。然後,結果在發送回之前被壓縮和加密。為了逃避偵測,LunarWeb 會偽裝其網路流量以模仿 Windows 更新等合法活動。
C&C 指令使 LunarWeb 能夠執行 shell 和 PowerShell 命令、執行 Lua 程式碼、操作檔以及歸檔指定目錄。另一個植入程式 LunarMail 具有類似的功能,但透過與 Outlook 整合並透過電子郵件與其 C&C 伺服器通訊、掃描包含 PNG 附件的特定訊息來獨特地運行。
LunarMail 的命令包括為 C&C 設定 Outlook 設定檔、啟動任意進程以及擷取螢幕截圖。這些操作的輸出隱藏在 PNG 影像或 PDF 文件中,然後作為電子郵件附件傳送到攻擊者控制的收件匣。
LunarMail 設計用於部署在使用者工作站而不是伺服器上,並作為 Outlook 插件持續存在。其操作方法與LightNeuron的操作方法相似,LightNeuron 是另一個 Turla 後門,利用電子郵件進行 C&C 通訊。
