Το LunarWeb Backdoor αποδεικνύεται προβληματικό για χρήστες υπολογιστών που επηρεάζονται
Σε πρόσφατες αποκαλύψεις για την ασφάλεια στον κυβερνοχώρο, ένα ανώνυμο Ευρωπαϊκό Υπουργείο Εξωτερικών (MFA) και οι διπλωματικές του αποστολές στη Μέση Ανατολή έπεσαν θύματα μιας εξελιγμένης κυβερνοεπίθεσης που περιελάμβανε δύο νέες κερκόπορτες: το LunarWeb και το LunarMail.
Table of Contents
The Turla Connection: A History of Spionage
Η ESET, μια εξέχουσα εταιρεία κυβερνοασφάλειας, εντόπισε τους δράστες πίσω από την επίθεση με μέτρια σιγουριά, συνδέοντάς την με την ομάδα κυβερνοκατασκοπείας Turla, ευθυγραμμισμένη με τη Ρωσία. Γνωστό επίσης με διάφορα ψευδώνυμα, όπως το Iron Hunter και το Venomous Bear, το Turla έχει μια διαβόητη ιστορία που χρονολογείται από το 1996, με μια τάση να στοχεύει διάφορους τομείς, συμπεριλαμβανομένων κυβερνητικών, στρατιωτικών και ερευνητικών ιδρυμάτων.
Ξετυλίγοντας τα σεληνιακά τεχνουργήματα: Τακτικές και τεχνικές
Ο ερευνητής ασφαλείας Filip Jurčacko έριξε φως στον τρόπο λειτουργίας των κερκόπορτων της Σελήνης. Το LunarWeb, που αναπτύσσεται σε διακομιστές, επικοινωνεί μέσω HTTP(S) και μιμείται τα νόμιμα αιτήματα, ενώ το LunarMail, εγκατεστημένο σε σταθμούς εργασίας, μεταμφιέζεται ως πρόσθετο του Outlook που χρησιμοποιεί μηνύματα email για τις λειτουργίες του.
The Attack Vector: Insights on the Intrusion
Η ανάλυση δείχνει ότι τα τεχνουργήματα της Σελήνης λειτουργούν σε στοχευμένες επιθέσεις από τις αρχές του 2020, επιδεικνύοντας την επιμονή και τις εξελισσόμενες τακτικές της ομάδας. Η αλυσίδα επίθεσης, που αναλύθηκε από την ESET, ξεκινά με μια μεταγλωττισμένη ιστοσελίδα ASP.NET που χρησιμοποιείται για την αποκωδικοποίηση ενσωματωμένων ωφέλιμων φορτίων, συμπεριλαμβανομένων των LunarLoader και LunarWeb.
LunarWeb's Arsenal: Μια πιο προσεκτική ματιά
Το LunarWeb έχει σχεδιαστεί για να συλλέγει πληροφορίες συστήματος, να εκτελεί εντολές σε αρχεία εικόνας και να καμουφλάρει την κυκλοφορία του δικτύου του για να αποφύγει τον εντοπισμό. Οι δυνατότητές του κυμαίνονται από την εκτέλεση εντολών φλοιού έως την αρχειοθέτηση αρχείων, επιδεικνύοντας την ευελιξία του στη διείσδυση και το χειρισμό στοχευμένων συστημάτων.
LunarMail: Εκμετάλλευση του Outlook για κατασκοπεία
Εν τω μεταξύ, το LunarMail διεισδύει σε συστήματα μέσω κακόβουλων εγγράφων του Word που αποστέλλονται μέσω emails spear-phishing. Λειτουργώντας ως πρόσθετο του Outlook, επικοινωνεί με τον διακομιστή εντολών και ελέγχου μέσω μηνυμάτων email, χρησιμοποιώντας συνημμένα PNG για να κρύψει τις δραστηριότητές του.
Συμπέρασμα: Η συνεχιζόμενη απειλή
Η ανακάλυψη των LunarWeb και LunarMail υπογραμμίζει την επίμονη απειλή που αποτελούν ομάδες όπως η Turla, υπογραμμίζοντας την ανάγκη για ενισχυμένα μέτρα κυβερνοασφάλειας για προστασία από τις εξελισσόμενες τακτικές κατασκοπείας σε έναν όλο και πιο ψηφιοποιημένο κόσμο.
