Um Ministério das Relações Exteriores Europeu não identificado e suas três missões diplomáticas no Oriente Médio foram alvo de dois backdoors anteriormente não documentados, rastreados como LunarWeb e LunarMail.

A ESET, que identificou a atividade, atribuiu-a com média confiança ao grupo de ciberespionagem alinhado à Rússia Turla (também conhecido como Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos e Venomous Bear), citando sobreposições táticas com campanhas anteriores identificadas como orquestradas pelo ator ameaça.

A análise dos artefatos lunares mostra que eles podem ter sido usados em ataques direcionados desde o início de 2020 ou até antes.

Turla, avaliado como afiliado ao Serviço Federal de Segurança da Rússia (FSB), é uma ameaça persistente avançada (APT) ativa desde pelo menos 1996. Ele tem um histórico de mirar uma variedade de setores que abrangem governos, embaixadas, militares, educação, pesquisa e setores farmacêuticos.

No início deste ano, o grupo de ciberespionagem foi descoberto atacando organizações polonesas para distribuir um backdoor chamado TinyTurla-NG (TTNG).

“O grupo Turla é um adversário persistente com uma longa história de atividades”, observou a Trend Micro em uma análise da evolução do arsenal de ferramentas do ator de ameaça. “Suas origens, táticas e alvos indicam uma operação bem financiada com operativos altamente qualificados.”

O exato vetor de intrusão usado para invadir o MFA é desconhecido no momento, embora se suspeite que possa ter envolvido um elemento de spear-phishing e a exploração de software Zabbix mal configurado.

O ponto de partida da cadeia de ataque montada pela ESET começa com uma versão compilada de uma página da web ASP.NET que é usada como um canal para decodificar dois blocos embutidos, que incluem um carregador, codinome LunarLoader, e o backdoor LunarWeb.

Especificamente, quando a página é solicitada, ela espera uma senha em um cookie chamado SMSKey, que, se fornecida, é usada para derivar uma chave criptográfica para descriptografar as cargas úteis da próxima etapa.

“O atacante já tinha acesso à rede, usou credenciais roubadas para movimentação lateral e tomou cuidados para comprometer o servidor sem levantar suspeitas”, observou Jurčacko.

Já o LunarMail é propagado por meio de um documento malicioso do Microsoft Word enviado por email de spear-phishing, que, por sua vez, empacota LunarLoader e o backdoor.

O LunarWeb é equipado para coletar informações do sistema e analisar comandos dentro de arquivos de imagem JPG e GIF enviados do servidor C&C, após o qual os resultados são exfiltrados de volta em um formato comprimido e criptografado. Além disso, ele tenta se misturar, fingindo seu tráfego de rede como legítimo (por exemplo, atualização do Windows).

As instruções C&C permitem que o backdoor execute comandos de shell e PowerShell, execute código Lua, leia/escreva arquivos e arquive caminhos especificados. O segundo implante, LunarMail, suporta capacidades semelhantes, mas notavelmente se baseia no Outlook e usa e-mail para comunicação com seu servidor C&C, procurando determinadas mensagens com anexos PNG.

Alguns dos outros comandos específicos do LunarMail incluem a capacidade de definir um perfil do Outlook para uso no C&C, criar processos arbitrários e tirar capturas de tela. As saídas de execução são então incorporadas em uma imagem PNG ou documento PDF antes de serem exfiltradas como anexos em emails para uma caixa de correio controlada pelo atacante.

“Este backdoor é projetado para ser implantado em estações de trabalho de usuários, não em servidores – porque é persistido e destinado a ser executado como um complemento do Outlook”, disse Jurčacko. “LunarMail compartilha ideias de sua operação com LightNeuron, outro backdoor Turla que usa mensagens de email para fins de C&C.”