LunarWeb Backdoor si rivela problematico per gli utenti dei computer interessati
Nelle recenti rivelazioni sulla sicurezza informatica, un anonimo Ministero degli Affari Esteri (MFA) europeo e le sue missioni diplomatiche in Medio Oriente sono caduti vittima di un sofisticato attacco informatico che coinvolge due nuove backdoor: LunarWeb e LunarMail.
Table of Contents
La connessione Turla: una storia di spionaggio
ESET, un’importante società di sicurezza informatica, ha identificato con media sicurezza gli autori dell’attacco, collegandolo al gruppo di spionaggio informatico Turla, allineato alla Russia. Conosciuto anche con vari alias come Iron Hunter e Venomous Bear, Turla ha una storia famigerata che risale al 1996, con una propensione a prendere di mira diversi settori tra cui istituti governativi, militari e di ricerca.
Svelare gli artefatti lunari: tattiche e tecniche
Il ricercatore di sicurezza Filip Jurčacko ha fatto luce sul modus operandi delle backdoor Lunar. LunarWeb, distribuito sui server, comunica tramite HTTP(S) e imita richieste legittime, mentre LunarMail, installato sulle workstation, si maschera da componente aggiuntivo di Outlook utilizzando i messaggi di posta elettronica per le sue operazioni.
Il vettore di attacco: approfondimenti sull'intrusione
L'analisi indica che i manufatti lunari sono stati operativi in attacchi mirati dall'inizio del 2020, dimostrando la persistenza del gruppo e le tattiche in evoluzione. La catena di attacco, analizzata da ESET, inizia con una pagina Web ASP.NET compilata utilizzata per decodificare i payload incorporati, tra cui LunarLoader e LunarWeb.
L'arsenale di LunarWeb: uno sguardo più da vicino
LunarWeb è progettato per raccogliere informazioni di sistema, eseguire comandi all'interno di file di immagine e camuffare il traffico di rete per eludere il rilevamento. Le sue capacità spaziano dall'esecuzione di comandi shell all'archiviazione di file, dimostrando la sua versatilità nell'infiltrarsi e manipolare sistemi mirati.
LunarMail: sfruttare Outlook per lo spionaggio
Nel frattempo, LunarMail si infiltra nei sistemi attraverso documenti Word dannosi inviati tramite e-mail di spear phishing. Funzionando come un componente aggiuntivo di Outlook, comunica con il suo server di comando e controllo tramite messaggi di posta elettronica, utilizzando allegati PNG per nascondere le sue attività.
Conclusione: la minaccia continua
La scoperta di LunarWeb e LunarMail sottolinea la minaccia persistente rappresentata da gruppi come Turla, evidenziando la necessità di misure di sicurezza informatica rafforzate per salvaguardarsi dall’evoluzione delle tattiche di spionaggio in un mondo sempre più digitalizzato.
