Backdoor LunarWeb okazuje się problematyczny dla dotkniętych użytkowników komputerów
W wyniku niedawnych doniesień o cyberbezpieczeństwie anonimowe Europejskie Ministerstwo Spraw Zagranicznych (MSZ) i jego misje dyplomatyczne na Bliskim Wschodzie padły ofiarą wyrafinowanego cyberataku z udziałem dwóch nowatorskich tylnych drzwi: LunarWeb i LunarMail.
Table of Contents
Połączenie Turla: historia szpiegostwa
ESET, wiodąca firma zajmująca się cyberbezpieczeństwem, zidentyfikowała sprawców ataku ze średnią pewnością, łącząc ich z powiązaną z Rosją grupą cyberszpiegowską Turla. Znana również pod różnymi pseudonimami, takimi jak Iron Hunter i Venomous Bear, Turla ma słynną historię sięgającą 1996 roku, z tendencją do atakowania różnych sektorów, w tym instytucji rządowych, wojskowych i badawczych.
Odkrywanie artefaktów księżycowych: taktyka i techniki
Badacz bezpieczeństwa Filip Jurčacko rzucił światło na sposób działania backdoorów Lunar. LunarWeb wdrożony na serwerach komunikuje się za pośrednictwem protokołu HTTP(S) i naśladuje uzasadnione żądania, podczas gdy LunarMail zainstalowany na stacjach roboczych udaje dodatek do Outlooka, wykorzystując do swoich operacji wiadomości e-mail.
Wektor ataku: wgląd w włamanie
Analiza wskazuje, że artefakty Lunar są wykorzystywane w atakach ukierunkowanych od początku 2020 r., co świadczy o wytrwałości grupy i ewoluującej taktyce. Łańcuch ataków analizowany przez firmę ESET rozpoczyna się od skompilowanej strony internetowej ASP.NET używanej do dekodowania osadzonych ładunków, w tym LunarLoader i LunarWeb.
Arsenał LunarWeb: bliższe spojrzenie
LunarWeb jest przeznaczony do gromadzenia informacji o systemie, wykonywania poleceń w plikach obrazów i kamuflowania ruchu sieciowego w celu uniknięcia wykrycia. Jego możliwości obejmują uruchamianie poleceń powłoki po archiwizowanie plików, co ukazuje jego wszechstronność w infiltrowaniu i manipulowaniu systemami docelowymi.
LunarMail: Wykorzystywanie programu Outlook do szpiegostwa
Tymczasem LunarMail infiltruje systemy poprzez złośliwe dokumenty Word wysyłane za pośrednictwem wiadomości e-mail typu spear-phishing. Działając jako dodatek do Outlooka, komunikuje się ze swoim serwerem dowodzenia i kontroli za pośrednictwem wiadomości e-mail, wykorzystując załączniki PNG do ukrywania swoich działań.
Wniosek: utrzymujące się zagrożenie
Odkrycie LunarWeb i LunarMail podkreśla ciągłe zagrożenie stwarzane przez grupy takie jak Turla, podkreślając potrzebę wzmocnionych środków cyberbezpieczeństwa w celu zabezpieczenia przed ewoluującymi taktykami szpiegowskimi w coraz bardziej zdigitalizowanym świecie.
