LunarWeb 后门对受影响的计算机用户来说是个问题
在最近的网络安全事件中,一个未透露姓名的欧洲外交部 (MFA) 及其驻中东的外交使团成为一次复杂网络攻击的受害者,该攻击涉及两个新型后门:LunarWeb 和 LunarMail。
Table of Contents
图拉关联:间谍史
知名网络安全公司 ESET 已确定此次攻击的幕后黑手,并有一定可信度,认为该组织与俄罗斯网络间谍组织 Turla 有关。Turla 还以 Iron Hunter 和 Venomous Bear 等别名而闻名,其臭名昭著的历史可以追溯到 1996 年,其攻击目标包括政府、军队和研究机构等多个领域。
揭秘月球文物:策略与技巧
安全研究员 Filip Jurčacko 揭示了 Lunar 后门的运作方式。部署在服务器上的 LunarWeb 通过 HTTP(S) 进行通信并模仿合法请求,而安装在工作站上的 LunarMail 则伪装成 Outlook 插件,利用电子邮件进行操作。
攻击媒介:入侵洞察
分析表明,自 2020 年初以来,Lunar 工具就已在针对性攻击中投入使用,这展示了该组织的持久性和不断发展的策略。ESET 剖析的攻击链始于一个编译的 ASP.NET 网页,用于解码嵌入的有效负载,包括 LunarLoader 和 LunarWeb。
LunarWeb 的武器库:近距离观察
LunarWeb 旨在收集系统信息、在图像文件中执行命令以及伪装其网络流量以逃避检测。其功能范围从运行 shell 命令到存档文件,展示了其在渗透和操纵目标系统方面的多功能性。
LunarMail:利用 Outlook 进行间谍活动
同时,LunarMail 通过鱼叉式网络钓鱼电子邮件发送恶意 Word 文档来入侵系统。它以 Outlook 插件的形式运行,通过电子邮件与其命令和控制服务器进行通信,并利用 PNG 附件来隐藏其活动。
结论:持续存在的威胁
LunarWeb 和 LunarMail 的发现凸显了 Turla 等组织所构成的持续威胁,凸显了加强网络安全措施的必要性,以防范日益数字化的世界中不断演变的间谍手段。
