LunarWeb Backdoor blijkt problematisch te zijn voor getroffen computergebruikers
Bij recente onthullingen over cyberveiligheid zijn een niet bij naam genoemd Europees Ministerie van Buitenlandse Zaken (MFA) en zijn diplomatieke missies in het Midden-Oosten het slachtoffer geworden van een geavanceerde cyberaanval waarbij twee nieuwe achterdeurtjes betrokken waren: LunarWeb en LunarMail.
Table of Contents
De Turla Connection: een geschiedenis van spionage
ESET, een vooraanstaand cyberbeveiligingsbedrijf, heeft de daders achter de aanval met gemiddeld vertrouwen geïdentificeerd en in verband gebracht met de aan Rusland verbonden cyberspionagegroep Turla. Ook bekend onder verschillende aliassen zoals Iron Hunter en Venomous Bear, heeft Turla een beruchte geschiedenis die teruggaat tot 1996, met een voorliefde voor het targeten van diverse sectoren, waaronder de overheid, het leger en onderzoeksinstellingen.
Het ontrafelen van de maanartefacten: tactieken en technieken
Beveiligingsonderzoeker Filip Jurčacko wierp licht op de modus operandi van de Lunar-achterdeuren. LunarWeb, geïmplementeerd op servers, communiceert via HTTP(S) en bootst legitieme verzoeken na, terwijl LunarMail, geïnstalleerd op werkstations, zich voordoet als een Outlook-invoegtoepassing die e-mailberichten gebruikt voor zijn activiteiten.
De aanvalsvector: inzichten in de inbraak
Uit analyse blijkt dat de maanartefacten sinds begin 2020 operationeel zijn bij gerichte aanvallen, wat de volharding en evoluerende tactieken van de groep aantoont. De aanvalsketen, ontleed door ESET, begint met een gecompileerde ASP.NET-webpagina die wordt gebruikt om ingebedde payloads te decoderen, waaronder LunarLoader en LunarWeb.
Het arsenaal van LunarWeb: van dichterbij bekeken
LunarWeb is ontworpen om systeeminformatie te verzamelen, opdrachten uit te voeren in afbeeldingsbestanden en het netwerkverkeer te camoufleren om detectie te omzeilen. De mogelijkheden variëren van het uitvoeren van shell-opdrachten tot het archiveren van bestanden, wat de veelzijdigheid van het programma in het infiltreren en manipuleren van gerichte systemen demonstreert.
LunarMail: Outlook misbruiken voor spionage
Ondertussen infiltreert LunarMail systemen via kwaadaardige Word-documenten die worden verzonden via spearphishing-e-mails. Het werkt als een Outlook-invoegtoepassing en communiceert met zijn command-and-control-server via e-mailberichten, waarbij gebruik wordt gemaakt van PNG-bijlagen om zijn activiteiten te verbergen.
Conclusie: de voortdurende dreiging
De ontdekking van LunarWeb en LunarMail onderstreept de aanhoudende dreiging die uitgaat van groepen als Turla, en benadrukt de noodzaak van verbeterde cyberbeveiligingsmaatregelen ter bescherming tegen evoluerende spionagetactieken in een steeds meer gedigitaliseerde wereld.
