Неназванное европейское министерство иностранных дел (МИД) и три его дипломатических представительства на Ближнем Востоке подверглись атакам двух ранее недокументированных бэкдоров, отслеживаемых как LunarWeb и LunarMail.
ESET, которая выявила эту активность, со средней степенью уверенности приписала ее связанной с Россией группе кибершпионажа Turla (она же Iron Hunter, Задумчивая Медведица, Secret Blizzard, Snake, Uroburos и Venomous Bear), сославшись на тактическое совпадение с предыдущими кампаниями, которые были определены как организованные группой.
"LunarWeb, развернутый на серверах, использует HTTP (ы) для связи C & C [command-and-control] и имитирует законные запросы, в то время как LunarMail, развернутый на рабочих станциях, сохраняется как надстройка Outlook и использует сообщения электронной почты для связи C & C", - сказал исследователь безопасности Филип Юрчацко.
Анализ лунных артефактов показывает, что они, возможно, использовались в целевых атаках с начала 2020 года или даже раньше.
Turla, предположительно связанная с Федеральной службой безопасности России (ФСБ), является продвинутой постоянной угрозой (APT), о которой известно, что она активна по крайней мере с 1996 года. Компания имеет опыт работы с целым рядом отраслей, охватывающих правительство, посольства, военный сектор, образование, исследования и фармацевтику.
Ранее в этом году было обнаружено, что группа кибершпионажа атаковала польские организации с целью распространения бэкдора под названием TinyTurla-NG (TTNG).
"Turla Group - постоянный противник с долгой историей деятельности", - отметили в Trend Micro в анализе развивающегося набора инструментов для создания угроз. "Их происхождение, тактика и цели - все указывает на хорошо финансируемую операцию с высококвалифицированными оперативниками".
Точный вектор вторжения, используемый для взлома MFA, в настоящее время неизвестен, хотя есть подозрение, что это могло быть связано с элементом шпионского фишинга и использованием неправильно настроенного программного обеспечения Zabbix.
Отправная точка цепочки атак, собранной ESET по частям, начинается со скомпилированной версии ASP.NET веб-страница, используемая в качестве канала для декодирования двух встроенных больших двоичных объектов, которая включает загрузчик под кодовым названием LunarLoader и бэкдор LunarWeb.
В частности, при запросе страницы ожидается ввод пароля в файле cookie с именем SMSKey, который, если он предоставлен, используется для получения криптографического ключа для расшифровки полезных данных следующего этапа.
"Злоумышленник уже имел доступ к сети, использовал украденные учетные данные для горизонтального перемещения и предпринял осторожные шаги, чтобы скомпрометировать сервер, не вызывая подозрений", - отметил Юрчацко.
LunarMail, с другой стороны, распространяется через вредоносный документ Microsoft Word, отправленный по фишинговому электронному письму, которое, в свою очередь, содержит LunarLoader и бэкдор.
LunarWeb оснащен для сбора системной информации и анализа команд внутри файлов изображений JPG и GIF, отправляемых с сервера C & C, после чего результаты передаются обратно в сжатом и зашифрованном формате. Далее компания пытается внедриться, маскируя свой сетевой трафик под законный (например, центр обновления Windows).
Инструкции C & C позволяют бэкдору запускать команды shell и PowerShell, выполнять код Lua, читать / записывать файлы и архивировать указанные пути. Второй имплантат, LunarMail, поддерживает аналогичные возможности, но, в частности, использует Outlook и электронную почту для связи со своим C & C-сервером путем поиска определенных сообщений с вложениями в формате PNG.
Некоторые другие команды, специфичные для LunarMail, включают возможность настроить профиль Outlook для использования в C & C, создавать произвольные процессы и делать скриншоты. Результаты выполнения затем внедряются в изображение PNG или PDF-документ перед их эксфильтрацией в виде вложений в электронных письмах в контролируемый злоумышленником почтовый ящик.
"Этот бэкдор предназначен для развертывания на рабочих станциях пользователей, а не на серверах, поскольку он сохраняется и предназначен для запуска как надстройка Outlook", - сказал Юрчацко. "LunarMail делится идеями о своей работе с LightNeuron, другим бэкдором Turla, который использует сообщения электронной почты для целей C & C."
ESET, которая выявила эту активность, со средней степенью уверенности приписала ее связанной с Россией группе кибершпионажа Turla (она же Iron Hunter, Задумчивая Медведица, Secret Blizzard, Snake, Uroburos и Venomous Bear), сославшись на тактическое совпадение с предыдущими кампаниями, которые были определены как организованные группой.
"LunarWeb, развернутый на серверах, использует HTTP (ы) для связи C & C [command-and-control] и имитирует законные запросы, в то время как LunarMail, развернутый на рабочих станциях, сохраняется как надстройка Outlook и использует сообщения электронной почты для связи C & C", - сказал исследователь безопасности Филип Юрчацко.
Анализ лунных артефактов показывает, что они, возможно, использовались в целевых атаках с начала 2020 года или даже раньше.
Turla, предположительно связанная с Федеральной службой безопасности России (ФСБ), является продвинутой постоянной угрозой (APT), о которой известно, что она активна по крайней мере с 1996 года. Компания имеет опыт работы с целым рядом отраслей, охватывающих правительство, посольства, военный сектор, образование, исследования и фармацевтику.
Ранее в этом году было обнаружено, что группа кибершпионажа атаковала польские организации с целью распространения бэкдора под названием TinyTurla-NG (TTNG).
"Turla Group - постоянный противник с долгой историей деятельности", - отметили в Trend Micro в анализе развивающегося набора инструментов для создания угроз. "Их происхождение, тактика и цели - все указывает на хорошо финансируемую операцию с высококвалифицированными оперативниками".
Точный вектор вторжения, используемый для взлома MFA, в настоящее время неизвестен, хотя есть подозрение, что это могло быть связано с элементом шпионского фишинга и использованием неправильно настроенного программного обеспечения Zabbix.
Отправная точка цепочки атак, собранной ESET по частям, начинается со скомпилированной версии ASP.NET веб-страница, используемая в качестве канала для декодирования двух встроенных больших двоичных объектов, которая включает загрузчик под кодовым названием LunarLoader и бэкдор LunarWeb.
В частности, при запросе страницы ожидается ввод пароля в файле cookie с именем SMSKey, который, если он предоставлен, используется для получения криптографического ключа для расшифровки полезных данных следующего этапа.
"Злоумышленник уже имел доступ к сети, использовал украденные учетные данные для горизонтального перемещения и предпринял осторожные шаги, чтобы скомпрометировать сервер, не вызывая подозрений", - отметил Юрчацко.
LunarMail, с другой стороны, распространяется через вредоносный документ Microsoft Word, отправленный по фишинговому электронному письму, которое, в свою очередь, содержит LunarLoader и бэкдор.
LunarWeb оснащен для сбора системной информации и анализа команд внутри файлов изображений JPG и GIF, отправляемых с сервера C & C, после чего результаты передаются обратно в сжатом и зашифрованном формате. Далее компания пытается внедриться, маскируя свой сетевой трафик под законный (например, центр обновления Windows).
Инструкции C & C позволяют бэкдору запускать команды shell и PowerShell, выполнять код Lua, читать / записывать файлы и архивировать указанные пути. Второй имплантат, LunarMail, поддерживает аналогичные возможности, но, в частности, использует Outlook и электронную почту для связи со своим C & C-сервером путем поиска определенных сообщений с вложениями в формате PNG.
Некоторые другие команды, специфичные для LunarMail, включают возможность настроить профиль Outlook для использования в C & C, создавать произвольные процессы и делать скриншоты. Результаты выполнения затем внедряются в изображение PNG или PDF-документ перед их эксфильтрацией в виде вложений в электронных письмах в контролируемый злоумышленником почтовый ящик.
"Этот бэкдор предназначен для развертывания на рабочих станциях пользователей, а не на серверах, поскольку он сохраняется и предназначен для запуска как надстройка Outlook", - сказал Юрчацко. "LunarMail делится идеями о своей работе с LightNeuron, другим бэкдором Turla, который использует сообщения электронной почты для целей C & C."
