Uma não nomeada Ministério das Relações Exteriores (MFA) Europeu e suas três missões diplomáticas no Oriente Médio foram alvo de dois backdoors anteriormente não documentados, rastreados como LunarWeb e LunarMail.
A ESET, que identificou a atividade, atribuiu com média confiança ao grupo de ciberespionagem alinhado à Rússia Turla (também conhecido como Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos e Venomous Bear), citando sobreposições táticas com campanhas anteriores identificadas como orquestradas pelo ator de ameaças.
"LunarWeb, implantado em servidores, usa HTTP(S) para suas comunicações C&C [comando-e-controle] e simula solicitações legítimas, enquanto LunarMail, implantado em estações de trabalho, persiste como um add-in do Outlook e usa mensagens de email para suas comunicações C&C," disse o pesquisador de segurança Filip Jurčacko.
Uma análise dos artefatos Lunar mostra que eles podem ter sido usados em ataques direcionados desde o início de 2020, ou até antes.
Turla, avaliado como afiliado ao Serviço Federal de Segurança (FSB) da Rússia, é uma ameaça persistente avançada (APT) conhecida por ser ativa desde pelo menos 1996.
Tem um histórico de alvos que abrange uma variedade de setores incluindo governo, embaixadas, militar, educação, pesquisa e farmacêutico.
No início deste ano, o grupo de ciberespionagem foi descoberto atacando organizações polonesas para distribuir um backdoor chamado TinyTurla-NG (TTNG).
"O grupo Turla é um adversário persistente com uma longa história de atividades," observou a Trend Micro em uma análise do conjunto de ferramentas em evolução do ator de ameaças.
Suas origens, táticas e alvos todos indicam uma operação bem financiada com operadores altamente qualificados. O vetor exato de intrusão usado para violar o MFA é atualmente desconhecido, embora se suspeite que possa ter envolvido um elemento de spear-phishing e a exploração de software Zabbix mal configurado.
O ponto de partida da cadeia de ataque montada pela ESET começa com uma versão compilada de uma página web ASP.NET que é usada como um conduto para decodificar dois blobs embutidos, que incluem um loader, codinome LunarLoader, e o backdoor LunarWeb.
Especificamente, quando a página é solicitada, espera-se uma senha em um cookie chamado SMSKey que, se fornecido, é usado para derivar uma chave criptográfica para descriptografar os payloads da próxima etapa.
"O atacante já tinha acesso à rede, usou credenciais roubadas para movimento lateral e tomou cuidadosas para comprometer o servidor sem levantar suspeitas," notou Jurčacko.
LunarMail, por outro lado, é propagado através de um documento malicioso do Microsoft Word enviado via um email de spear-phishing, que, por sua vez, embala o LunarLoader e o backdoor.
LunarWeb é equipado para coletar informações do sistema e analisar comandos dentro de arquivos de imagem JPG e GIF enviados do servidor C&C, após o que os resultados são exfiltrados de volta em um formato comprimido e criptografado.
Ele ainda tenta se misturar, mascarando seu tráfego de rede como legítimo (por exemplo, atualização do Windows).
As instruções C&C permitem que o backdoor execute comandos shell e PowerShell, execute código Lua, leia/escreva arquivos e arquive caminhos especificados.
O segundo implante, LunarMail, suporta capacidades similares, mas notavelmente se apoia no Outlook e usa email para comunicação com seu servidor C&C procurando por certas mensagens com anexos PNG.
Alguns dos outros comandos específicos para LunarMail incluem a capacidade de definir um perfil do Outlook para usar para fins de C&C, criar processos arbitrários e tirar capturas de tela.
As saídas de execução são então embutidas em uma imagem PNG ou documento PDF antes de serem exfiltradas como anexos em e-mails para uma caixa de entrada controlada pelo atacante.
"Este backdoor é projetado para ser implantado em estações de trabalho de usuários, não em servidores -- porque ele é persistido e destinado a funcionar como um add-in do Outlook," disse Jurčacko.
"LunarMail compartilha ideias de sua operação com o LightNeuron, outro backdoor do Turla que usa mensagens de email para propósitos C&C."
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...