La puerta trasera LunarWeb resulta problemática para los usuarios de computadoras afectados
En recientes revelaciones sobre ciberseguridad, un Ministerio de Asuntos Exteriores (MAE) europeo anónimo y sus misiones diplomáticas en Oriente Medio han sido víctimas de un sofisticado ciberataque que involucra dos novedosas puertas traseras: LunarWeb y LunarMail.
Table of Contents
La conexión Turla: una historia de espionaje
ESET, una destacada empresa de ciberseguridad, ha identificado a los autores del ataque con un nivel de confianza medio, vinculándolo con el grupo de ciberespionaje Turla, alineado con Rusia. También conocido por varios alias como Iron Hunter y Venomous Bear, Turla tiene una historia notoria que se remonta a 1996, con una inclinación por atacar a diversos sectores, incluidos el gobierno, el ejército y las instituciones de investigación.
Desentrañando los artefactos lunares: tácticas y técnicas
El investigador de seguridad Filip Jurčacko arrojó luz sobre el modus operandi de las puertas traseras de Lunar. LunarWeb, implementado en servidores, se comunica a través de HTTP(S) e imita solicitudes legítimas, mientras que LunarMail, instalado en estaciones de trabajo, se hace pasar por un complemento de Outlook que utiliza mensajes de correo electrónico para sus operaciones.
El vector de ataque: información sobre la intrusión
El análisis indica que los artefactos lunares han estado operativos en ataques dirigidos desde principios de 2020, lo que muestra la persistencia del grupo y las tácticas en evolución. La cadena de ataque, analizada por ESET, comienza con una página web ASP.NET compilada que se utiliza para decodificar cargas útiles integradas, incluidas LunarLoader y LunarWeb.
Arsenal de LunarWeb: una mirada más cercana
LunarWeb está diseñado para recopilar información del sistema, ejecutar comandos dentro de archivos de imágenes y camuflar su tráfico de red para evadir la detección. Sus capacidades van desde ejecutar comandos de shell hasta archivar archivos, lo que demuestra su versatilidad para infiltrarse y manipular sistemas específicos.
LunarMail: Explotación de Outlook para espionaje
Mientras tanto, LunarMail se infiltra en los sistemas a través de documentos de Word maliciosos enviados mediante correos electrónicos de phishing. Operando como un complemento de Outlook, se comunica con su servidor de comando y control a través de mensajes de correo electrónico, utilizando archivos adjuntos PNG para ocultar sus actividades.
Conclusión: la amenaza actual
El descubrimiento de LunarWeb y LunarMail subraya la persistente amenaza que representan grupos como Turla, destacando la necesidad de mejorar las medidas de ciberseguridad para protegerse contra la evolución de las tácticas de espionaje en un mundo cada vez más digitalizado.
