Бэкдор LunarWeb оказался проблематичным для затронутых пользователей компьютеров
В недавних разоблачениях в области кибербезопасности неназванное Министерство иностранных дел Европы (МИД) и его дипломатические миссии на Ближнем Востоке стали жертвой изощренной кибератаки с использованием двух новых бэкдоров: LunarWeb и LunarMail.
Table of Contents
Связь с Turla: история шпионажа
ESET, известная фирма по кибербезопасности, со средней степенью достоверности определила виновников атаки, связав ее с связанной с Россией кибершпионской группой Turla. Также известная под различными псевдонимами, такими как «Железный охотник» и «Ядовитый медведь», Turla имеет печально известную историю, начавшуюся в 1996 году, со склонностью нападать на различные сектора, включая правительственные, военные и исследовательские учреждения.
Распутывание лунных артефактов: тактика и методы
Исследователь безопасности Филип Юрчако пролил свет на методы работы лунных бэкдоров. LunarWeb, развернутый на серверах, взаимодействует через HTTP(S) и имитирует законные запросы, а LunarMail, установленный на рабочих станциях, маскируется под надстройку Outlook, использующую для своих операций сообщения электронной почты.
Вектор атаки: понимание вторжения
Анализ показывает, что лунные артефакты используются в целенаправленных атаках с начала 2020 года, что демонстрирует настойчивость и развивающуюся тактику группировки. Цепочка атак, проанализированная ESET, начинается с скомпилированной веб-страницы ASP.NET, используемой для декодирования встроенных полезных данных, включая LunarLoader и LunarWeb.
Арсенал LunarWeb: более пристальный взгляд
LunarWeb предназначен для сбора системной информации, выполнения команд в файлах изображений и маскировки сетевого трафика, чтобы избежать обнаружения. Его возможности варьируются от запуска команд оболочки до архивирования файлов, что демонстрирует его универсальность при проникновении в целевые системы и манипулировании ими.
LunarMail: использование Outlook для шпионажа
Тем временем LunarMail проникает в системы через вредоносные документы Word, отправленные через фишинговые электронные письма. Работая как надстройка Outlook, он взаимодействует со своим сервером управления через сообщения электронной почты, используя вложения PNG для сокрытия своей деятельности.
Заключение: продолжающаяся угроза
Обнаружение LunarWeb и LunarMail подчеркивает постоянную угрозу, исходящую от таких групп, как Turla, и подчеркивает необходимость усиления мер кибербезопасности для защиты от развития тактики шпионажа во все более цифровом мире.
