A LunarWeb Backdoor problémásnak bizonyult az érintett számítógép-felhasználók számára
A legutóbbi kiberbiztonsági leleplezések során egy meg nem nevezett Európai Külügyminisztérium (MFA) és közel-keleti diplomáciai képviselete egy kifinomult kibertámadás áldozatává vált, amely két újszerű hátsó ajtót, a LunarWebet és a LunarMailt érint.
Table of Contents
A turlai kapcsolat: A kémkedés története
Az ESET, egy prominens kiberbiztonsági cég közepes magabiztossággal azonosította a támadás mögött álló elkövetőket, és az Oroszországhoz kötődő Turla kiberkémcsoporthoz köti. A különféle álnevekről is ismert, mint például az Iron Hunter és a Venomous Bear, Turla hírhedt története 1996-ig nyúlik vissza, és előszeretettel céloz meg különféle szektorokat, beleértve a kormányzati, katonai és kutatóintézeteket.
A Hold műtermékeinek feltárása: taktika és technikák
Filip Jurčacko biztonsági kutató rávilágított a Hold hátsó ajtóinak működési módjára. A kiszolgálókon telepített LunarWeb HTTP(S)-n keresztül kommunikál, és jogos kéréseket utánoz, míg a munkaállomásokra telepített LunarMail Outlook-bővítményként álcázza magát, e-mail üzeneteket használva működéséhez.
A támadás vektora: betekintés a behatolásba
Az elemzés azt mutatja, hogy a Hold műtermékei 2020 eleje óta használhatók célzott támadások során, bemutatva a csoport kitartását és fejlődő taktikáját. Az ESET által szétválasztott támadási lánc egy lefordított ASP.NET weboldallal kezdődik, amelyet a beágyazott rakományok, köztük a LunarLoader és a LunarWeb dekódolására használnak.
A LunarWeb arzenálja: közelebbről
A LunarWeb úgy lett kialakítva, hogy rendszerinformációkat gyűjtsön, parancsokat hajtson végre a képfájlokon belül, és álcázza a hálózati forgalmat az észlelés elkerülése érdekében. Képességei a shell-parancsok futtatásától a fájlok archiválásáig terjednek, bemutatva sokoldalúságát a célzott rendszerek behatolásában és manipulálásában.
LunarMail: Az Outlook kihasználása kémkedésre
Eközben a LunarMail behatol a rendszerekbe rosszindulatú Word-dokumentumokon keresztül, amelyeket adathalász e-mailekben küldenek. Outlook-bővítményként működik, és e-mail üzeneteken keresztül kommunikál a parancs- és vezérlőszerverével, PNG-mellékleteket használva tevékenységei elrejtésére.
Következtetés: A folyamatos fenyegetés
A LunarWeb és a LunarMail felfedezése rávilágít az olyan csoportok által jelentett tartós fenyegetésre, mint a Turla, és rávilágít arra, hogy fokozott kiberbiztonsági intézkedésekre van szükség a fejlődő kémkedési taktikák elleni védelem érdekében az egyre inkább digitalizált világban.
