Το Ευρωπαϊκό Υπουργείο Εξωτερικών (MFA) και οι τρεις αποστολές του στη Μέση Ανατολή, έπεσαν θύματα κυβερνοεπιθέσεων, γνωστών ως LunarWeb και LunarMail.
Η ESET, η οποία εντόπισε την εν λόγω δραστηριότητα, την αποδίδει στο group κυβερνοκατασκοπείας Turla, γνωστό και ως Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos και Venomous Bear. Οι υποψίες της εταιρείας βασίζονται στην αναγνώριση τακτικών και μεθόδων που συνδέονται με προηγούμενες κακόβουλες ενέργειες, οι οποίες έχουν προσδιοριστεί ως οργανωμένες από τον εν λόγω φορέα απειλής.
Δείτε επίσης: Οι Ρώσοι hackers Turla στοχεύουν ΜΚΟ με το νέο TinyTurla-NG backdoor
Το LunarWeb, που λειτουργεί σε διακομιστές, χρησιμοποιεί το πρωτόκολλο HTTP(S) για επικοινωνίες εντολής και ελέγχου (C&C), παριστάνοντας νόμιμες ιστοσελίδες. Από την άλλη πλευρά, το LunarMail, το οποίο εγκαθίσταται σε σταθμούς εργασίας, ενσωματώνεται στο Outlook ως πρόσθετο και χρησιμοποιεί email για τις επικοινωνίες C&C, όπως επισημαίνει ο ερευνητής ασφαλείας Filip Jurčacko.
Το Turla group, που εκτιμάται ότι συνδέεται με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB), είναι μια προηγμένη επίμονη απειλή (APT) που φέρεται να είναι ενεργή τουλάχιστον από το 1996 και στόχευε κυρίως την κυβέρνηση, πρεσβείες και στρατιωτικούς , την εκπαίδευση, την έρευνα και τη φαρμακευτική.
Φέτος, αποκαλύφθηκε η δράση μιας ομάδας κυβερνοκατασκοπείας που επιτίθεται σε οργανώσεις στην Πολωνία, με σκοπό τη διανομή ενός backdoor που ονομάζεται TinyTurla-NG (TTNG).
«Το Turla group αποτελεί έναν επιμένον ανταγωνιστή με ένα εκτενές ιστορικό δράσεων», αναφέρει η Trend Micro στην ανάλυσή της για το δυναμικά εξελισσόμενο σύνολο εργαλείων του φορέα απειλής. «Η καταγωγή, οι μέθοδοι και οι στόχοι της ομάδας δείχνουν μια οργάνωση με σημαντική χρηματοδότηση και ιδιαίτερα εξειδικευμένους επιχειρησιακούς παράγοντες».
Το ακριβές χρονικό διάστημα εισβολής που χρησιμοποιήθηκε για την παραβίαση του MFA είναι προς το παρόν άγνωστο, αν και υπάρχει η υποψία ότι μπορεί να περιλάμβανε ένα στοιχείο spear-phishing και την εκμετάλλευση του εσφαλμένου λογισμικού Zabbix.
Το σημείο εκκίνησης της αλυσίδας επίθεσης που συνδυάζεται από την ESET ξεκινά με μια μεταγλωττισμένη έκδοση μιας ιστοσελίδας ASP.NET που χρησιμοποιείται ως αγωγός για την αποκωδικοποίηση δύο ενσωματωμένων blobs, η οποία περιλαμβάνει έναν loader, με την ονομασία LunarLoader και LunarWeb backdoor.
Συγκεκριμένα, όταν ζητείται η σελίδα, αναμένει έναν κωδικό πρόσβασης σε ένα cookie με το όνομα SMSKey που, εάν παρέχεται, χρησιμοποιείται για την παραγωγή ενός κλειδιού για την αποκρυπτογράφηση των ωφέλιμων φορτίων.
“Ο χάκερ είχε ήδη πρόσβαση στο δίκτυο, χρησιμοποιούσε κλεμμένα διαπιστευτήρια για πλευρική κίνηση και έλαβε προσεκτικά μέτρα για να θέσει σε κίνδυνο τον διακομιστή χωρίς να κινήσει υποψίες”, σημείωσε ο Jurčacko.
Το LunarMail, από την άλλη πλευρά, διαδίδεται μέσω ενός κακόβουλου εγγράφου του Microsoft Word που αποστέλλεται μέσω email phishing, το οποίο, με τη σειρά του, συσκευάζει το LunarLoader και το backdoor.
Το LunarWeb είναι εξοπλισμένο για να συλλέγει πληροφορίες συστήματος και να αναλύει εντολές μέσα σε αρχεία εικόνας JPG και GIF που αποστέλλονται από τον διακομιστή C&C, και στη συνέχεια τα αποτελέσματα εξάγονται σε συμπιεσμένη και κρυπτογραφημένη μορφή. Προσπαθεί περαιτέρω να ενσωματωθεί μεταμφιέζοντας την κυκλοφορία του δικτύου του ως νόμιμης εμφάνισης (π.χ. ενημέρωση των Windows).
Οι οδηγίες C&C επιτρέπουν στο backdoor να εκτελεί εντολές PowerShell και κώδικα Lua code, να διαβάζει/συγγράφει αρχεία και να αρχειοθετεί καθορισμένες διαδρομές. Το δεύτερο injection, το LunarMail, υποστηρίζει παρόμοιες δυνατότητες, αλλά κυρίως piggybacks στο Outlook και χρησιμοποιεί email για επικοινωνία με τον διακομιστή C&C του αναζητώντας συγκεκριμένα μηνύματα με συνημμένα PNG.
Διαβάστε περισσότερα: DinodasRAT: Νέα Linux έκδοση του backdoor
Μερικές από τις άλλες εντολές που αφορούν ειδικά το LunarMail περιλαμβάνουν τη δυνατότητα ρύθμισης προφίλ του Outlook για χρήση για C&C, δημιουργία αυθαίρετων διεργασιών και λήψη στιγμιότυπων οθόνης. Στη συνέχεια, οι έξοδοι εκτέλεσης ενσωματώνονται σε μια εικόνα PNG ή ένα έγγραφο PDF πριν από την εξαγωγή τους ως συνημμένα σε μηνύματα ηλεκτρονικού ταχυδρομείου σε εισερχόμενα ελεγχόμενα από τους χάκερς.
“Αυτό το backdoor έχει σχεδιαστεί για να αναπτύσσεται σε σταθμούς εργασίας χρηστών, όχι σε διακομιστές — επειδή διατηρείται και προορίζεται να εκτελείται ως πρόσθετο του Outlook”, είπε ο Jurčacko. “Το LunarMail μοιράζεται ιδέες για τη λειτουργία του με το LightNeuron, ένα άλλο backdoor της Turla που χρησιμοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου για σκοπούς C&C.”
Πηγή: thehackernews
 και οι τρεις αποστολές του στη Μέση Ανατολή, έπεσαν θύματα κυβερνοεπιθέσεων, γνωστών ως LunarWeb και LunarMail.){kind=link}