LunarWeb バックドアは、影響を受けるコンピュータ ユーザーにとって問題であることが判明

最近のサイバーセキュリティの暴露によると、名前が明らかにされていない欧州外務省（MFA）と中東の外交使節団が、2つの新しいバックドア「LunarWeb」と「LunarMail」を使った高度なサイバー攻撃の被害に遭った。

トゥルラ・コネクション：スパイ活動の歴史

著名なサイバーセキュリティ企業 ESET は、この攻撃の背後にいる犯人を中程度の確信を持って特定し、ロシアと連携するサイバースパイ集団 Turla との関連を指摘した。Iron Hunter や Venomous Bear など、さまざまな別名でも知られる Turla は、1996 年まで遡る悪名高い歴史を持ち、政府、軍隊、研究機関など、さまざまな分野を標的にしてきた。

月の遺物を解明する：戦術とテクニック

セキュリティ研究者の Filip Jurčacko 氏は、Lunar バックドアの手口を明らかにしました。サーバー上に展開される LunarWeb は、HTTP(S) 経由で通信し、正当なリクエストを模倣します。一方、ワークステーションにインストールされる LunarMail は、電子メール メッセージを利用して Outlook アドインを装います。

攻撃ベクトル: 侵入に関する洞察

分析によると、Lunar アーティファクトは 2020 年初頭から標的型攻撃で使用されており、このグループの執拗さと戦術の進化を示しています。ESET が分析した攻撃チェーンは、LunarLoader や LunarWeb などの埋め込みペイロードをデコードするために使用されるコンパイル済みの ASP.NET Web ページから始まります。

LunarWeb の武器庫: 詳しく見る

LunarWeb は、システム情報を収集し、イメージ ファイル内でコマンドを実行し、ネットワーク トラフィックをカモフラージュして検出を回避するように設計されています。その機能は、シェル コマンドの実行からファイルのアーカイブ化まで多岐にわたり、標的のシステムに侵入して操作する汎用性を示しています。

LunarMail: Outlook をスパイ活動に利用

一方、LunarMail は、スピアフィッシング メール経由で送られてくる悪意のある Word 文書を通じてシステムに侵入します。Outlook アドインとして動作し、PNG 添付ファイルを利用して活動を隠蔽しながら、メール メッセージを通じてコマンド アンド コントロール サーバーと通信します。

結論: 進行中の脅威

LunarWeb と LunarMail の発見は、Turla のようなグループがもたらす脅威が依然として続いていることを強調しており、デジタル化が進む世界において進化するスパイ活動の戦術から身を守るためにサイバーセキュリティ対策を強化する必要があることを浮き彫りにしています。