Um Ministério de Relações Exteriores europeu não identificado e suas três missões diplomáticas no Oriente Médio foram alvo de dois backdoors anteriormente não documentados, rastreados como LunarWeb e LunarMail.
A ESET, que identificou a atividade, atribuiu-a com média confiança ao grupo de ciberespionagem alinhado à Rússia, Turla (também conhecido como Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos e Venomous Bear), citando sobreposições táticas com campanhas anteriores identificadas como orquestradas pelo ator de ameaça.
“O LunarWeb, implantado em servidores, usa HTTP(S) para comunicações de C&C [comando e controle] e imita solicitações legítimas, enquanto o LunarMail, implantado em estações de trabalho, é persistido como um complemento do Outlook e usa mensagens de e-mail para suas comunicações de C&C”, disse o pesquisador de segurança Filip Jurčacko.
Uma análise dos artefatos lunares mostra que eles podem ter sido usados em ataques direcionados desde o início de 2020, ou até mesmo antes.
A Turla, avaliada como afiliada ao Serviço de Segurança Federal da Rússia (FSB), é uma ameaça persistente avançada (APT) conhecida por estar ativa desde pelo menos 1996. Ela tem um histórico de segmentar uma variedade de setores, incluindo governo, embaixadas, militares, educação, pesquisa e setores farmacêuticos.
Ainda neste ano, o grupo de espionagem cibernética foi descoberto atacando organizações polonesas para distribuir um backdoor chamado TinyTurla-NG (TTNG).
“O grupo Turla é um adversário persistente com uma longa história de atividades”, observou a Trend Micro em uma análise do arsenal em evolução do ator de ameaça. “Suas origens, táticas e alvos indicam uma operação bem financiada com operadores altamente qualificados.”
O vetor de intrusão exato usado para violar o MFA ainda é desconhecido, embora se suspeite que possa ter envolvido algum elemento de spear-phishing e a exploração de software Zabbix mal configurado.
O ponto de partida da cadeia de ataque montada pela ESET começa com uma versão compilada de uma página da web ASP.NET que é usada como conduto para decodificar dois blobs embutidos, que incluem um carregador, codinome LunarLoader, e o backdoor LunarWeb.
Especificamente, quando a página é solicitada, ela espera uma senha em um cookie chamado SMSKey que, se fornecida, é usada para derivar uma chave criptográfica para descriptografar as cargas da próxima etapa.
“O atacante já tinha acesso à rede, usou credenciais roubadas para movimentos laterais e tomou cuidadosos passos para comprometer o servidor sem levantar suspeitas”, observou Jurčacko.
O LunarMail, por outro lado, é propagado por meio de um documento malicioso do Microsoft Word enviado por e-mail de spear-phishing, que, por sua vez, empacota o LunarLoader e o backdoor.
O LunarWeb está equipado para coletar informações do sistema e analisar comandos dentro de arquivos de imagens JPG e GIF enviados do servidor de C&C, após o que os resultados são exfiltrados de volta em um formato comprimido e criptografado. Ele ainda tenta se misturar, disfarçando seu tráfego de rede como legítimo (por exemplo, atualização do Windows).
As instruções de C&C permitem que o backdoor execute comandos de shell e PowerShell, execute código Lua, leia / escreva arquivos e arquive caminhos especificados. O segundo implante, o LunarMail, suporta capacidades semelhantes, mas notavelmente se baseia no Outlook e usa e-mails para se comunicar com seu servidor de C&C, procurando determinadas mensagens com anexos PNG.
Alguns dos outros comandos específicos do LunarMail incluem a capacidade de definir um perfil do Outlook a ser usado para C&C, criar processos arbitrários e capturar telas. As saídas de execução são então incorporadas em uma imagem PNG ou documento PDF antes de serem exfiltradas como anexos em e-mails para uma caixa de correio controlada pelo atacante.
“Este backdoor é projetado para ser implantado em estações de trabalho de usuários, não em servidores – porque é persistente e destinado a ser executado como um complemento do Outlook”, disse Jurčacko. “O LunarMail compartilha ideias de sua operação com o LightNeuron, outro backdoor Turla que usa mensagens de e-mail para fins de C&C.”
