LunarWeb 後門被證明會為受影響的電腦使用者帶來問題
在最近的網路安全揭露中,未透露姓名的歐洲外交部 (MFA) 及其駐中東的外交使團成為複雜網路攻擊的受害者,該攻擊涉及兩個新穎的後門:LunarWeb 和 LunarMail。
Table of Contents
圖拉關係:間諜史
著名網路安全公司 ESET 已以中等信心確定了此次攻擊背後的肇事者,並將其與與俄羅斯結盟的網路間諜組織 Turla 聯繫起來。 Turla 也被稱為「鋼鐵獵人」和「毒熊」等各種別名,其臭名昭著的歷史可以追溯到 1996 年,喜歡針對包括政府、軍隊和研究機構在內的不同部門。
揭開月球文物的面紗:策略與技術
安全研究員 Filip Jurčacko 揭示了 Lunar 後門的作案手法。部署在伺服器上的 LunarWeb 會透過 HTTP(S) 進行通訊並模仿合法請求,而安裝在工作站上的 LunarMail 則利用電子郵件訊息偽裝成 Outlook 加載項進行操作。
攻擊向量:深入了解入侵
分析表明,月球文物自 2020 年初以來一直在進行針對性攻擊,展示了該組織的持久性和不斷變化的策略。 ESET 剖析的攻擊鏈始於編譯的 ASP.NET 網頁,用於解碼嵌入的有效負載,包括 LunarLoader 和 LunarWeb。
LunarWeb 的軍火庫:近距離觀察
LunarWeb 旨在收集系統資訊、在影像檔案中執行命令以及偽裝其網路流量以逃避偵測。它的功能範圍從運行 shell 命令到歸檔文件,展示了它在滲透和操縱目標系統方面的多功能性。
LunarMail:利用 Outlook 進行間諜活動
同時,LunarMail 透過魚叉式網路釣魚電子郵件發送的惡意 Word 文件滲透系統。它作為 Outlook 插件運行,透過電子郵件與其命令和控制伺服器通信,利用 PNG 附件隱藏其活動。
結論:持續的威脅
LunarWeb 和 LunarMail 的發現凸顯了 Turla 等組織所構成的持續威脅,並強調需要加強網路安全措施,以防範日益數位化的世界中不斷變化的間諜策略。
