LunarWeb Backdoor visar sig vara problematisk för drabbade datoranvändare
I de senaste cybersäkerhetsavslöjandena har ett icke namngivet europeiskt utrikesministerium (MFA) och dess diplomatiska beskickningar i Mellanöstern fallit offer för en sofistikerad cyberattack som involverar två nya bakdörrar: LunarWeb och LunarMail.
Table of Contents
The Turla Connection: A History of Spionage
ESET, ett framstående cybersäkerhetsföretag, har identifierat gärningsmännen bakom attacken med medelhögt självförtroende, och kopplar den till den Rysslandsanslutna cyberspionagegruppen Turla. Turla är också känd för olika alias som Iron Hunter och Venomous Bear, och har en ökända historia som går tillbaka till 1996, med en förkärlek för att rikta in sig på olika sektorer inklusive regering, militär och forskningsinstitutioner.
Att reda ut månens artefakter: taktik och tekniker
Säkerhetsforskaren Filip Jurčacko kastade ljus över modus operandi för Lunar-bakdörrarna. LunarWeb, utplacerat på servrar, kommunicerar via HTTP(S) och härmar legitima förfrågningar, medan LunarMail, installerat på arbetsstationer, maskerar sig som ett Outlook-tillägg som använder e-postmeddelanden för sin verksamhet.
Attackvektorn: Insikter i intrånget
Analyser visar att månens artefakter har varit operativa i riktade attacker sedan början av 2020, vilket visar upp gruppens uthållighet och utvecklande taktik. Attackkedjan, dissekerad av ESET, börjar med en kompilerad ASP.NET-webbsida som används för att avkoda inbäddade nyttolaster, inklusive LunarLoader och LunarWeb.
LunarWebs Arsenal: En närmare titt
LunarWeb är designat för att samla in systeminformation, utföra kommandon i bildfiler och kamouflera dess nätverkstrafik för att undvika upptäckt. Dess möjligheter sträcker sig från att köra skalkommandon till att arkivera filer, vilket visar upp dess mångsidighet när det gäller att infiltrera och manipulera riktade system.
LunarMail: Utnyttja Outlook för spionage
Samtidigt infiltrerar LunarMail system genom skadliga Word-dokument som skickas via e-post med spjutfiske. Den fungerar som ett Outlook-tillägg och kommunicerar med sin kommando-och-kontrollserver via e-postmeddelanden och använder PNG-bilagor för att dölja sina aktiviteter.
Slutsats: Det pågående hotet
Upptäckten av LunarWeb och LunarMail understryker det ihållande hot som grupper som Turla utgör, och lyfter fram behovet av förbättrade cybersäkerhetsåtgärder för att skydda mot utvecklande spionagetaktik i en allt mer digitaliserad värld.
