İsmi açıklanmayan bir Avrupa Dışişleri Bakanlığı (MFA) ve Orta Doğu’daki üç diplomatik misyonu, LunarWeb ve LunarMail olarak takip edilen, daha önce belgelenmemiş iki arka kapı tarafından hedef alındı.
Etkinliği tespit eden ESET, orta derecede güvenle bunu Rusya bağlantılı siber casusluk grubu Turla’ya (diğer adıyla Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos ve Venomous Bear) atfetti ve bu grup tarafından organize edildiği belirlenen önceki harekâtlarla taktiksel örtüşmelere atıfta bulundu. grup.
“Sunuculara yerleştirilen LunarWeb, C&C için HTTP(S) kullanıyor [command-and-control] Güvenlik araştırmacısı Filip Jurčacko, iletişimleri ve meşru istekleri taklit ederken, iş istasyonlarında konuşlandırılan LunarMail’in bir Outlook eklentisi olarak kalıcı olduğunu ve C&C iletişimleri için e-posta mesajlarını kullandığını söyledi.
Ay eserleri üzerinde yapılan bir analiz, bunların 2020’nin başından bu yana, hatta daha öncesinden bu yana hedefli saldırılarda kullanılmış olabileceğini gösteriyor.
Rusya Federal Güvenlik Servisi’ne (FSB) bağlı olduğu değerlendirilen Turla, en az 1996’dan bu yana aktif olduğu bilinen gelişmiş bir kalıcı tehdittir (APT). Hükümet, büyükelçilikler, askeriye gibi çeşitli sektörleri hedef alma konusunda bir geçmişi var. , eğitim, araştırma ve ilaç sektörleri.
Bu yılın başlarında siber casusluk grubunun TinyTurla-NG (TTNG) adlı bir arka kapıyı dağıtmak için Polonyalı kuruluşlara saldırdığı ortaya çıktı.
Trend Micro, tehdit aktörünün gelişen araç seti analizinde “Turla grubu, uzun bir faaliyet geçmişine sahip inatçı bir düşmandır” dedi. “Kökenleri, taktikleri ve hedefleri, hepsi yüksek vasıflı ajanlarla iyi finanse edilmiş bir operasyonu gösteriyor.”
MFA’yı ihlal etmek için kullanılan kesin izinsiz giriş vektörü şu anda bilinmiyor, ancak hedef odaklı kimlik avı ve yanlış yapılandırılmış Zabbix yazılımının kötüye kullanılması unsurunu kapsadığından şüpheleniliyor.
ESET tarafından bir araya getirilen saldırı zincirinin başlangıç noktası, kod adı LunarLoader olan bir yükleyici ve LunarWeb arka kapısını içeren iki yerleşik blobun kodunu çözmek için kanal olarak kullanılan bir ASP.NET web sayfasının derlenmiş sürümüyle başlar.
Özellikle, sayfa istendiğinde, SMSKey adlı bir çerezde bir şifre bekler ve eğer sağlanırsa, bir sonraki aşamadaki verilerin şifresini çözmek için bir şifreleme anahtarı türetmek için kullanılır.
Jurčacko, “Saldırganın zaten ağa erişimi vardı, yanal hareket için çalıntı kimlik bilgilerini kullandı ve şüphe uyandırmadan sunucuyu tehlikeye atmak için dikkatli adımlar attı.” dedi.
Öte yandan LunarMail, hedef odaklı kimlik avı e-postası yoluyla gönderilen kötü amaçlı bir Microsoft Word belgesi aracılığıyla yayılır ve bu da LunarLoader’ı ve arka kapıyı paketler.
LunarWeb, C&C sunucusundan gönderilen JPG ve GIF resim dosyalarındaki sistem bilgilerini toplayacak ve komutları ayrıştıracak şekilde donatılmıştır; ardından sonuçlar sıkıştırılmış ve şifrelenmiş bir formatta geri süzülür. Ayrıca, ağ trafiğini meşru görünen (örneğin, Windows güncellemesi) gibi maskeleyerek ortama karışmaya çalışır.
C&C talimatları, arka kapının kabuk ve PowerShell komutlarını çalıştırmasına, Lua kodunu yürütmesine, dosyaları okuma/yazmasına ve belirtilen yolları arşivlemesine olanak tanır. İkinci implant olan LunarMail de benzer yetenekleri destekliyor, ancak özellikle Outlook’u kullanıyor ve PNG ekleriyle belirli mesajları arayarak C&C sunucusuyla iletişim için e-postayı kullanıyor.
LunarMail’e özgü diğer komutlardan bazıları, C&C için kullanılacak bir Outlook profili ayarlama, isteğe bağlı işlemler oluşturma ve ekran görüntüleri alma yeteneğini içerir. Yürütme çıktıları daha sonra bir PNG görüntüsüne veya PDF belgesine gömülüyor ve ardından e-posta ekleri olarak saldırganın kontrolündeki bir gelen kutusuna aktarılıyor.
Jurčacko, “Bu arka kapı, sunuculara değil, kullanıcı iş istasyonlarına dağıtılmak üzere tasarlandı; çünkü kalıcıdır ve bir Outlook eklentisi olarak çalışması amaçlanır.” dedi. “LunarMail, e-posta mesajlarını C&C amacıyla kullanan bir başka Turla arka kapısı olan LightNeuron ile operasyonuna ilişkin fikirlerini paylaşıyor.”