Neimenovano evropsko ministarstvo vanjskih poslova (MFA) i njegova tri diplomatska predstavništva na Bliskom istoku bili su na meti dva prethodno nedokumentovana backdoor-a praćena kao LunarWeb i LunarMail.
ESET, koji je identifikovao tu aktivnost, pripisao ju je sa srednjim povjerenjem grupi za sajber špijunažu Turla (poznatoj kao Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos i Venomous Bear), navodeći taktička preklapanja sa prethodnim kampanjama koje su identifikovane kao smišljeno od strane hakera.
“LunarWeb, raspoređen na serverima, koristi HTTP(S) za svoje C&C [naredbe i kontrole] komunikacije i oponaša legitimne zahtjeve, dok LunarMail, raspoređen na radnim stanicama, ostaje kao dodatak za Outlook i koristi poruke e-pošte za svoje C&C komunikacije”, rekao je istraživač sigurnosti Filip Jurčacko.
Analiza Lunar artefakata pokazuje da su oni možda korišteni u ciljanim napadima od početka 2020. godine ili čak i ranije.
Turla, za koju se procjenjuje da je povezana s ruskom Federalnom sigurnosnom službom (FSB), je napredna trajna prijetnja (APT) za koju se zna da je aktivna od najmanje 1996. godine. Ima iskustvo u ciljanju niza industrija koje obuhvataju vladu, ambasade, vojsku , obrazovanje, istraživanje i farmaceutski sektor.
Ranije ove godine otkrivena je grupa za sajber špijunažu kako napada poljske organizacije kako bi distribuisala backdoor pod nazivom TinyTurla-NG (TTNG).
„Grupa Turla je uporni protivnik sa dugom istorijom aktivnosti“, primjetio je Trend Micro u analizi evoluirajućeg skupa alata hakera. “Njihovo porijeklo, taktika i ciljevi ukazuju na dobro finansiranu operaciju s visoko kvalifikovanim operativcima.”
Tačan vektor upada koji se koristi za probijanje MFA trenutno je nepoznat, iako se sumnja da je možda uključivao element spear-phishinga i eksploataciju pogrešno konfigurisanog Zabbix softvera.
Početna tačka lanca napada koji je sastavio ESET počinje kompajliranom verzijom ASP.NET web stranice koja se koristi kao kanal za dekodiranje dva ugrađena blob-a, što uključuje učitavač, kodnog naziva LunarLoader, i LunarWeb backdoor.
Konkretno, kada je stranica odobrena, ona očekuje lozinku u kolačiću pod nazivom SMSKey koji se, ako se dostavi, koristi za izvođenje kriptografskog ključa za dešifrovanje korisnih podataka sljedeće faze.
“Napadač je već imao pristup mreži, koristio je ukradene kredencijale za bočno kretanje i preduzeo je oprezne korake da degradira server bez izazivanja sumnje”, napomenuo je Jurčacko.
LunarMail se, s druge strane, širi kroz zlonamjerni Microsoft Word dokument koji se šalje putem e-pošte za krađu identiteta, koja zauzvrat pakira LunarLoader i backdoor.
LunarWeb je opremljen za prikupljanje sistemskih informacija i raščlanjivanje komandi unutar JPG i GIF slikovnih datoteka poslanih sa C&C servera, nakon čega se rezultati eksfiltriraju nazad u komprimiranom i šifriranom formatu. Dalje pokušava da se uklopi maskirajući svoj mrežni saobraćaj kao legitiman (npr. Windows ažuriranje).
C&C instrukcije dozvoljavaju backdoor-u da pokrene shell i PowerShell komande, izvrši Lua kod, čita/piše datoteke i arhivira određene staze. Drugi implant, LunarMail, podržava slične mogućnosti, ali posebno u Outlooku i koristi e-poštu za komunikaciju sa svojim C&C serverom tražeći određene poruke sa PNG prilozima.
Neke od drugih komandi specifičnih za LunarMail uključuju mogućnost postavljanja Outlook profila za korištenje za C&C, kreiranje proizvoljnih procesa i snimanje ekrana. Izlazni rezultati se zatim ugrađuju u PNG sliku ili PDF dokument prije nego što ih eksfiltriraju kao priloge u e-mailovima u prijemno sanduče koje kontrolira napadač.
“Ovaj backdoor je dizajniran da se implementira na korisničke radne stanice, a ne na servere – jer je postojan i namijenjen da radi kao dodatak za Outlook”, rekao je Jurčacko. “LunarMail dijeli ideje o svom radu sa LightNeuronom, još jednim Turla backdoorom koji koristi poruke e-pošte za C&C svrhe.”
Izvor: The Hacker News
