LunarWeb Backdoor viser seg å være problematisk for berørte datamaskinbrukere
I nylige avsløringer av cybersikkerhet har et ikke navngitt europeisk utenriksdepartement (MFA) og dets diplomatiske oppdrag i Midtøsten blitt offer for et sofistikert nettangrep som involverer to nye bakdører: LunarWeb og LunarMail.
Table of Contents
Turla-forbindelsen: En historie om spionasje
ESET, et fremtredende cybersikkerhetsfirma, har identifisert gjerningsmennene bak angrepet med middels selvtillit, og knyttet det til den russisk-justerte nettspiongruppen Turla. Turla er også kjent for forskjellige aliaser som Iron Hunter og Venomous Bear, og har en beryktet historie som går tilbake til 1996, med en forkjærlighet for å målrette mot ulike sektorer, inkludert myndigheter, militære og forskningsinstitusjoner.
Å nøste opp måneartefakter: taktikk og teknikker
Sikkerhetsforsker Filip Jurčacko kastet lys over modus operandi til Lunar-bakdørene. LunarWeb, distribuert på servere, kommuniserer via HTTP(S) og etterligner legitime forespørsler, mens LunarMail, installert på arbeidsstasjoner, maskerer seg som et Outlook-tillegg ved å bruke e-postmeldinger for sine operasjoner.
Angrepsvektoren: Innsikt i inntrengingen
Analyse indikerer at Lunar-artefaktene har vært operative i målrettede angrep siden tidlig i 2020, og viser gruppens utholdenhet og utviklende taktikk. Angrepskjeden, dissekert av ESET, begynner med en kompilert ASP.NET-nettside som brukes til å dekode innebygde nyttelaster, inkludert LunarLoader og LunarWeb.
LunarWebs Arsenal: En nærmere titt
LunarWeb er designet for å samle systeminformasjon, utføre kommandoer i bildefiler og kamuflere nettverkstrafikken for å unngå oppdagelse. Dens evner spenner fra å kjøre shell-kommandoer til arkivering av filer, og viser dens allsidighet i å infiltrere og manipulere målrettede systemer.
LunarMail: Utnyttelse av Outlook for spionasje
I mellomtiden infiltrerer LunarMail systemer gjennom ondsinnede Word-dokumenter sendt via spyd-phishing-e-post. Den fungerer som et Outlook-tillegg og kommuniserer med kommando-og-kontrollserveren via e-postmeldinger, og bruker PNG-vedlegg for å skjule aktivitetene.
Konklusjon: Den pågående trusselen
Oppdagelsen av LunarWeb og LunarMail understreker den vedvarende trusselen fra grupper som Turla, og fremhever behovet for forbedrede cybersikkerhetstiltak for å beskytte seg mot spionasjetaktikker i stadig større grad i en verden som blir stadig mer digitalisert.
