La porte dérobée LunarWeb s'avère problématique pour les utilisateurs d'ordinateurs concernés
Lors de récentes révélations en matière de cybersécurité, un ministère européen des Affaires étrangères (MAE) anonyme et ses missions diplomatiques au Moyen-Orient ont été victimes d'une cyberattaque sophistiquée impliquant deux nouvelles portes dérobées : LunarWeb et LunarMail.
Table of Contents
La connexion Turla : une histoire d’espionnage
ESET, une importante société de cybersécurité, a identifié les auteurs de l'attaque avec un niveau de confiance moyen, en la reliant au groupe de cyberespionnage aligné sur la Russie Turla. Également connue sous divers pseudonymes tels que Iron Hunter et Venomous Bear, Turla a une histoire notoire remontant à 1996, avec un penchant pour cibler divers secteurs, notamment le gouvernement, l'armée et les institutions de recherche.
Démêler les artefacts lunaires : tactiques et techniques
Le chercheur en sécurité Filip Jurčacko a fait la lumière sur le mode opératoire des portes dérobées lunaires. LunarWeb, déployé sur des serveurs, communique via HTTP(S) et imite les requêtes légitimes, tandis que LunarMail, installé sur les postes de travail, se fait passer pour un complément Outlook utilisant des messages électroniques pour ses opérations.
Le vecteur d’attaque : aperçu de l’intrusion
L'analyse indique que les artefacts lunaires sont opérationnels dans le cadre d'attaques ciblées depuis début 2020, démontrant la persistance et l'évolution des tactiques du groupe. La chaîne d'attaque, disséquée par ESET, commence par une page Web ASP.NET compilée utilisée pour décoder les charges utiles intégrées, notamment LunarLoader et LunarWeb.
L'arsenal de LunarWeb : un examen plus approfondi
LunarWeb est conçu pour collecter des informations système, exécuter des commandes dans des fichiers image et camoufler son trafic réseau pour échapper à la détection. Ses capacités vont de l’exécution de commandes shell à l’archivage de fichiers, démontrant sa polyvalence dans l’infiltration et la manipulation de systèmes ciblés.
LunarMail : exploiter Outlook pour l'espionnage
Pendant ce temps, LunarMail infiltre les systèmes via des documents Word malveillants envoyés via des e-mails de spear phishing. Fonctionnant comme un complément Outlook, il communique avec son serveur de commande et de contrôle via des messages électroniques, en utilisant des pièces jointes PNG pour dissimuler ses activités.
Conclusion : la menace permanente
La découverte de LunarWeb et LunarMail souligne la menace persistante posée par des groupes comme Turla, soulignant la nécessité de mesures de cybersécurité renforcées pour se prémunir contre l'évolution des tactiques d'espionnage dans un monde de plus en plus numérisé.
