LunarWeb Backdoor prova ser problemático para usuários de computador afetados
Nas recentes revelações sobre segurança cibernética, um Ministério dos Negócios Estrangeiros (MFA) europeu não identificado e as suas missões diplomáticas no Médio Oriente foram vítimas de um sofisticado ataque cibernético envolvendo duas novas backdoors: LunarWeb e LunarMail.
Table of Contents
A conexão Turla: uma história de espionagem
A ESET, uma importante empresa de segurança cibernética, identificou os autores do ataque com confiança média, ligando-o ao grupo de espionagem cibernética Turla, alinhado à Rússia. Também conhecido por vários pseudônimos, como Iron Hunter e Venomous Bear, Turla tem uma história notória que remonta a 1996, com uma tendência para atingir diversos setores, incluindo instituições governamentais, militares e de pesquisa.
Desvendando os artefatos lunares: táticas e técnicas
O pesquisador de segurança Filip Jurčacko esclareceu o modus operandi dos backdoors lunares. O LunarWeb, implantado em servidores, se comunica via HTTP(S) e imita solicitações legítimas, enquanto o LunarMail, instalado em estações de trabalho, se disfarça como um complemento do Outlook, utilizando mensagens de e-mail para suas operações.
O vetor de ataque: insights sobre a intrusão
A análise indica que os artefactos lunares têm estado operacionais em ataques direccionados desde o início de 2020, mostrando a persistência e a evolução das tácticas do grupo. A cadeia de ataque, dissecada pela ESET, começa com uma página da web ASP.NET compilada usada para decodificar cargas incorporadas, incluindo LunarLoader e LunarWeb.
Arsenal da LunarWeb: um olhar mais atento
O LunarWeb foi projetado para coletar informações do sistema, executar comandos em arquivos de imagem e camuflar o tráfego de rede para evitar a detecção. Seus recursos variam desde a execução de comandos shell até o arquivamento de arquivos, demonstrando sua versatilidade na infiltração e manipulação de sistemas direcionados.
LunarMail: Explorando o Outlook para espionagem
Enquanto isso, o LunarMail se infiltra nos sistemas por meio de documentos maliciosos do Word enviados por meio de e-mails de spear-phishing. Operando como um complemento do Outlook, ele se comunica com seu servidor de comando e controle por meio de mensagens de e-mail, utilizando anexos PNG para ocultar suas atividades.
Conclusão: a ameaça contínua
A descoberta do LunarWeb e do LunarMail sublinha a ameaça persistente representada por grupos como o Turla, destacando a necessidade de medidas reforçadas de segurança cibernética para salvaguardar contra a evolução das tácticas de espionagem num mundo cada vez mais digitalizado.
