LunarWeb Bagdør viser sig at være problematisk for berørte computerbrugere
I de seneste afsløringer af cybersikkerhed er et unavngivet europæisk udenrigsministerium (MFA) og dets diplomatiske missioner i Mellemøsten blevet ofre for et sofistikeret cyberangreb, der involverer to nye bagdøre: LunarWeb og LunarMail.
Table of Contents
Turla-forbindelsen: En historie om spionage
ESET, et fremtrædende cybersikkerhedsfirma, har identificeret gerningsmændene bag angrebet med middel tillid og forbinder det med den russisk-tilpassede cyberspionagegruppe Turla. Turla er også kendt under forskellige aliaser såsom Iron Hunter og Venomous Bear, og har en berygtet historie, der går tilbage til 1996, med en forkærlighed for at målrette mod forskellige sektorer, herunder regering, militær og forskningsinstitutioner.
Optrævling af måneartefakter: taktik og teknikker
Sikkerhedsforsker Filip Jurčacko kastede lys over modus operandi af Lunar-bagdørene. LunarWeb, der er installeret på servere, kommunikerer via HTTP(S) og efterligner legitime anmodninger, mens LunarMail, installeret på arbejdsstationer, forklæder sig som et Outlook-tilføjelsesprogram ved at bruge e-mail-beskeder til sine operationer.
Angrebsvektoren: Indsigt i indtrængen
Analyse viser, at Lunar-artefakterne har været operationelle i målrettede angreb siden begyndelsen af 2020, hvilket viser gruppens vedholdenhed og udviklende taktik. Angrebskæden, dissekeret af ESET, begynder med en kompileret ASP.NET-webside, der bruges til at afkode indlejrede nyttelaster, inklusive LunarLoader og LunarWeb.
LunarWebs Arsenal: Et nærmere kig
LunarWeb er designet til at indsamle systeminformation, udføre kommandoer i billedfiler og camouflere dets netværkstrafik for at undgå registrering. Dens muligheder spænder fra at køre shell-kommandoer til arkivering af filer, der viser dens alsidighed i at infiltrere og manipulere målrettede systemer.
LunarMail: Udnyttelse af Outlook til spionage
I mellemtiden infiltrerer LunarMail systemer gennem ondsindede Word-dokumenter sendt via spear-phishing-e-mails. Den fungerer som et Outlook-tilføjelsesprogram og kommunikerer med sin kommando-og-kontrol-server via e-mail-beskeder ved at bruge PNG-vedhæftede filer til at skjule sine aktiviteter.
Konklusion: Den vedvarende trussel
Opdagelsen af LunarWeb og LunarMail understreger den vedvarende trussel, som grupper som Turla udgør, og fremhæver behovet for forbedrede cybersikkerhedsforanstaltninger for at beskytte mod spionagetaktikker, der udvikler sig i en stadig mere digitaliseret verden.
