LunarWeb-Hintertür
Ein europäisches Außenministerium (MFA) und seine drei diplomatischen Vertretungen im Nahen Osten wurden kürzlich von einer neuen Hintertür namens LunarWeb getroffen, die zuvor nicht dokumentiert worden war. Darüber hinaus verwendeten die Angreifer ein weiteres bösartiges Tool namens LunarMail. Forscher gehen mit mittlerer Sicherheit davon aus, dass dieser Cyberangriff das Werk der mit Russland verbündeten Cyberspionagegruppe Turla ist, die unter verschiedenen Decknamen bekannt ist, darunter Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos und Venomous Bear. Die Zuordnung basiert auf Ähnlichkeiten in den Taktiken, die in früheren Kampagnen im Zusammenhang mit diesem Bedrohungsakteur beobachtet wurden.
LunarWeb läuft auf Servern, die HTTP(S) für seine Command-and-Control-Kommunikation (C&C) verwenden, und tarnt seine Aktivitäten als legitime Anfragen. LunarMail hingegen, das auf Workstations eingesetzt wird, bleibt als Outlook-Add-In bestehen und verwendet E-Mail-Nachrichten für seine C&C-Kommunikation. Eine Untersuchung der Lunar-Artefakte legt nahe, dass sie bereits 2020 oder möglicherweise sogar schon früher für gezielte Angriffe eingesetzt worden sein könnten.
Inhaltsverzeichnis
Der Turla APT ist ein wichtiger Bedrohungsakteur in der Cybercrime-Szene
Turla wird dem russischen Inlandsgeheimdienst FSB zugerechnet und ist ein Advanced Persistent Threat (APT), der seit mindestens 1996 aktiv ist. In der Vergangenheit hat er es auf zahlreiche Branchen abgesehen, darunter Regierung, Botschaften, Militär, Bildung, Forschung und die Pharmabranche.
Anfang 2024 wurde entdeckt, dass die Cyber-Spionage-Gruppe polnische Organisationen angriff, um eine Hintertür namens TinyTurla-NG (TTNG) zu verbreiten. Die Turla-Gruppe ist ein hartnäckiger Gegner mit einer langen Geschichte von Aktivitäten. Ihre Ursprünge, Taktiken und Ziele deuten alle auf eine gut finanzierte Operation mit hochqualifizierten Agenten hin.
Infektionsvektoren für die Bereitstellung der LunarWeb-Backdoor
Die genaue Methode, mit der die MFA durchbrochen wurde, ist derzeit unbekannt, aber es wird vermutet, dass Elemente von Spear-Phishing und die Ausnutzung falsch konfigurierter Zabbix-Software zum Einsatz kommen. Die erste Phase des Angriffs beginnt vermutlich mit einer kompilierten Version einer ASP.NET-Webseite, die als Kanal zum Dekodieren zweier eingebetteter Blobs dient, die LunarLoader (einen Loader) und die LunarWeb-Hintertür enthalten.
In diesem Prozess wird beim Aufrufen der Seite ein Passwort in einem Cookie namens SMSKey erwartet. Wenn dieses Passwort angegeben wird, wird es verwendet, um einen kryptografischen Schlüssel zum Entschlüsseln nachfolgender Payloads abzuleiten. Der Angreifer hatte wahrscheinlich bereits Netzwerkzugriff, nutzte gestohlene Anmeldeinformationen für die laterale Bewegung und unternahm gezielte Maßnahmen, um den Server diskret zu kompromittieren.
LunarMail hingegen wird über ein bösartiges Microsoft Word-Dokument verbreitet, das über Spear-Phishing-E-Mails versendet wird und Payloads von LunarLoader und der zugehörigen Hintertür enthält.
Wie funktionieren die LunarWeb- und LunarMail-Hintertüren nach der Ausführung?
LunarWeb kann Systeminformationen sammeln und Befehle ausführen, die in JPG- und GIF-Bilddateien eingebettet sind, die vom C&C-Server empfangen werden. Die Ergebnisse werden dann komprimiert und verschlüsselt, bevor sie zurückgesendet werden. Um nicht entdeckt zu werden, tarnt LunarWeb seinen Netzwerkverkehr, sodass er legitimen Aktivitäten wie Windows-Updates ähnelt.
Die C&C-Anweisungen ermöglichen es LunarWeb, Shell- und PowerShell-Befehle auszuführen, Lua-Code auszuführen, Dateien zu bearbeiten und bestimmte Verzeichnisse zu archivieren. Ein weiteres Implantat, LunarMail, verfügt über ähnliche Funktionen, funktioniert aber auf einzigartige Weise, indem es sich in Outlook integriert und per E-Mail mit seinem C&C-Server kommuniziert und nach bestimmten Nachrichten mit PNG-Anhängen sucht.
Zu den Befehlen von LunarMail gehören das Konfigurieren eines Outlook-Profils für C&C, das Starten beliebiger Prozesse und das Aufnehmen von Screenshots. Die Ergebnisse dieser Aktionen werden in PNG-Bildern oder PDF-Dokumenten verborgen und dann als E-Mail-Anhänge an einen vom Angreifer kontrollierten Posteingang gesendet.
LunarMail ist für den Einsatz auf Benutzerarbeitsplätzen und nicht auf Servern konzipiert und bleibt als Outlook-Add-In bestehen. Seine Funktionsweise ähnelt der von LightNeuron , einer weiteren Turla-Hintertür, die E-Mail-Nachrichten für die C&C-Kommunikation verwendet.
