„LunarWeb Backdoor“ yra problemiška paveiktiems kompiuterių naudotojams
Neseniai paskelbus apie kibernetinį saugumą, neįvardyta Europos užsienio reikalų ministerija (URM) ir jos diplomatinės atstovybės Artimuosiuose Rytuose tapo sudėtingos kibernetinės atakos, apimančios dvi naujas užpakalines duris: LunarWeb ir LunarMail, aukomis.
Table of Contents
Turlos ryšys: šnipinėjimo istorija
Žymi kibernetinio saugumo įmonė ESET vidutiniškai patikimai nustatė atakos kaltininkus, siedama ją su Rusijai priklausančia kibernetinio šnipinėjimo grupe „Turla“. Taip pat žinomas įvairiais slapyvardžiais, tokiais kaip Geležinis medžiotojas ir Nuodingasis lokys, Turla turi liūdnai pagarsėjusią istoriją, siekiančią 1996 m., ir yra linkusi orientuotis į įvairius sektorius, įskaitant vyriausybę, kariuomenę ir tyrimų institucijas.
Mėnulio artefaktų išaiškinimas: taktika ir metodai
Saugumo tyrinėtojas Filipas Jurčackas atskleidė Mėnulio užpakalinių durų veikimo būdą. LunarWeb, įdiegtas serveriuose, bendrauja per HTTP(S) ir imituoja teisėtas užklausas, o darbo stotyse įdiegtas LunarMail yra „Outlook“ priedas, savo veiksmams naudodamas el. pašto pranešimus.
Atakos vektorius: įsibrovimo įžvalgos
Analizė rodo, kad Mėnulio artefaktai buvo naudojami tikslinėse atakose nuo 2020 m. pradžios, o tai rodo grupės atkaklumą ir besikeičiančią taktiką. Atakos grandinė, kurią išskaidė ESET, prasideda sudarytu ASP.NET tinklalapiu, naudojamu įterptoms naudingosioms apkrovoms, įskaitant „LunarLoader“ ir „LunarWeb“, iššifruoti.
„LunarWeb“ arsenalas: žvilgsnis iš arčiau
„LunarWeb“ sukurtas rinkti sistemos informaciją, vykdyti komandas vaizdo failuose ir užmaskuoti tinklo srautą, kad būtų išvengta aptikimo. Jo galimybės svyruoja nuo apvalkalo komandų vykdymo iki failų archyvavimo, parodančio jo universalumą įsiskverbiant ir manipuliuojant tikslinėmis sistemomis.
„LunarMail“: „Outlook“ naudojimas šnipinėjimui
Tuo tarpu „LunarMail“ įsiskverbia į sistemas per kenkėjiškus „Word“ dokumentus, siunčiamus sukčiavimo el. laiškais. Veikdamas kaip „Outlook“ priedas, jis bendrauja su savo komandų ir valdymo serveriu el. pašto žinutėmis, naudodamas PNG priedus, kad nuslėptų savo veiklą.
Išvada: nuolatinė grėsmė
„LunarWeb“ ir „LunarMail“ atradimas pabrėžia nuolatinę grėsmę, kurią kelia tokios grupės kaip „Turla“, ir pabrėžia, kad reikia sustiprintų kibernetinio saugumo priemonių, siekiant apsisaugoti nuo besikeičiančios šnipinėjimo taktikos vis labiau skaitmenizuotame pasaulyje.
