LunarWeb-Hintertür erweist sich für betroffene Computerbenutzer als problematisch
Im Zuge jüngster Enthüllungen im Bereich der Cybersicherheit sind ein nicht namentlich genanntes europäisches Außenministerium (MFA) und seine diplomatischen Vertretungen im Nahen Osten einem ausgeklügelten Cyberangriff zum Opfer gefallen, bei dem zwei neuartige Hintertüren zum Einsatz kamen: LunarWeb und LunarMail.
Table of Contents
Die Turla-Verbindung: Eine Geschichte der Spionage
ESET, ein bekanntes Cybersicherheitsunternehmen, hat die Täter hinter dem Angriff mit mittlerer Sicherheit identifiziert und ihn mit der mit Russland verbündeten Cyberspionagegruppe Turla in Verbindung gebracht. Turla, die auch unter verschiedenen Decknamen wie Iron Hunter und Venomous Bear bekannt ist, hat eine berüchtigte Geschichte, die bis ins Jahr 1996 zurückreicht, und eine Vorliebe dafür, unterschiedliche Sektoren wie Regierung, Militär und Forschungseinrichtungen ins Visier zu nehmen.
Entschlüsselung der Mondartefakte: Taktiken und Techniken
Der Sicherheitsforscher Filip Jurčacko hat Licht in die Funktionsweise der Lunar-Hintertüren gebracht. LunarWeb, das auf Servern installiert ist, kommuniziert über HTTP(S) und imitiert legitime Anfragen, während LunarMail, das auf Arbeitsstationen installiert ist, sich als Outlook-Add-In tarnt und E-Mail-Nachrichten für seine Operationen verwendet.
Der Angriffsvektor: Einblicke in den Einbruch
Analysen zeigen, dass die Lunar-Artefakte seit Anfang 2020 bei gezielten Angriffen im Einsatz sind, was die Hartnäckigkeit und die sich entwickelnden Taktiken der Gruppe zeigt. Die von ESET analysierte Angriffskette beginnt mit einer kompilierten ASP.NET-Webseite, die zum Dekodieren eingebetteter Payloads verwendet wird, darunter LunarLoader und LunarWeb.
Das Arsenal von LunarWeb: Ein genauerer Blick
LunarWeb ist darauf ausgelegt, Systeminformationen zu sammeln, Befehle in Bilddateien auszuführen und seinen Netzwerkverkehr zu tarnen, um nicht entdeckt zu werden. Seine Fähigkeiten reichen vom Ausführen von Shell-Befehlen bis zum Archivieren von Dateien und zeigen damit seine Vielseitigkeit beim Infiltrieren und Manipulieren von Zielsystemen.
LunarMail: Outlook für Spionagezwecke ausnutzen
LunarMail infiltriert Systeme durch bösartige Word-Dokumente, die per Spear-Phishing-E-Mail verschickt werden. Es fungiert als Outlook-Add-In und kommuniziert über E-Mail-Nachrichten mit seinem Command-and-Control-Server. Dabei verwendet es PNG-Anhänge, um seine Aktivitäten zu verbergen.
Fazit: Die anhaltende Bedrohung
Die Entdeckung von LunarWeb und LunarMail unterstreicht die anhaltende Bedrohung durch Gruppen wie Turla und verdeutlicht die Notwendigkeit verbesserter Cybersicherheitsmaßnahmen zum Schutz vor sich entwickelnden Spionagetaktiken in einer zunehmend digitalisierten Welt.
