Porte dérobée LunarWeb
Un ministère européen des Affaires étrangères (MAE) et ses trois missions diplomatiques au Moyen-Orient ont récemment été touchés par une nouvelle porte dérobée appelée LunarWeb, qui n'avait pas encore été documentée. De plus, les attaquants ont utilisé un autre outil malveillant, baptisé LunarMail. Les chercheurs pensent avec une confiance moyenne que cette cyberattaque est l'œuvre du groupe de cyberespionnage aligné sur la Russie Turla, connu sous divers pseudonymes, notamment Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos et Venomous Bear. L'attribution est basée sur des similitudes dans les tactiques observées lors de campagnes précédentes associées à cet acteur menaçant.
LunarWeb fonctionne sur des serveurs utilisant HTTP(S) pour ses communications de commande et de contrôle (C&C), déguisant son activité en requêtes légitimes. D'autre part, LunarMail, déployé sur les postes de travail, reste persistant en tant que complément Outlook et utilise les messages électroniques pour ses communications C&C. Un examen des artefacts lunaires suggère qu’ils auraient pu être utilisés dans des attaques ciblées dès 2020, voire peut-être même avant.
Table des matières
L'APT Turla est une menace majeure sur la scène de la cybercriminalité
Turla, considéré comme affilié au Service fédéral de sécurité (FSB) russe, est une menace persistante avancée (APT) connue pour être active depuis au moins 1996. Elle a fait ses preuves dans le ciblage d'un éventail d'industries couvrant le gouvernement, les ambassades, l'armée. , l’éducation, la recherche et les secteurs pharmaceutiques.
Plus tôt en 2024, le groupe de cyberespionnage a été découvert en train d'attaquer des organisations polonaises pour distribuer une porte dérobée nommée TinyTurla-NG (TTNG). Le groupe Turla est un adversaire persistant avec une longue histoire d’activités. Leurs origines, leurs tactiques et leurs cibles indiquent toutes une opération bien financée avec des agents hautement qualifiés.
Vecteurs d'infection pour la livraison de la porte dérobée LunarWeb
La méthode précise utilisée pour violer le MFA est actuellement inconnue, mais elle est soupçonnée d'impliquer des éléments de spear-phishing et d'exploitation d'un logiciel Zabbix mal configuré. On pense que la phase initiale de l'attaque commence par une version compilée d'une page Web ASP.NET, servant de canal pour décoder deux blobs intégrés contenant LunarLoader (un chargeur) et la porte dérobée LunarWeb.
Dans ce processus, lorsque l'on accède à la page, il attend un mot de passe dans un cookie nommé SMSKey. S'il est fourni, ce mot de passe est utilisé pour dériver une clé cryptographique permettant de déchiffrer les charges utiles ultérieures. L’attaquant disposait probablement d’un accès réseau préexistant, a utilisé des informations d’identification volées pour effectuer des mouvements latéraux et a pris des mesures délibérées pour compromettre discrètement le serveur.
D'autre part, LunarMail est diffusé via un document Microsoft Word malveillant envoyé via des e-mails de spear phishing, qui inclut les charges utiles de LunarLoader et la porte dérobée associée.
Comment fonctionnent les portes dérobées LunarWeb et LunarMail une fois exécutées ?
LunarWeb est capable de collecter des informations système et d'exécuter des commandes intégrées dans les fichiers image JPG et GIF reçus du serveur C&C. Les résultats sont ensuite compressés et cryptés avant d'être renvoyés. Pour échapper à la détection, LunarWeb déguise son trafic réseau pour ressembler à des activités légitimes telles que les mises à jour Windows.
Les instructions C&C permettent à LunarWeb d'exécuter des commandes shell et PowerShell, d'exécuter du code Lua, de manipuler des fichiers et d'archiver les répertoires spécifiés. Un autre implant, LunarMail, possède des fonctionnalités similaires mais fonctionne de manière unique en s'intégrant à Outlook et en communiquant avec son serveur C&C par courrier électronique, en recherchant des messages spécifiques contenant des pièces jointes PNG.
Les commandes de LunarMail incluent la configuration d'un profil Outlook pour C&C, le lancement de processus arbitraires et la capture de captures d'écran. Le résultat de ces actions est masqué dans des images PNG ou des documents PDF avant d'être envoyé sous forme de pièce jointe à un e-mail vers une boîte de réception contrôlée par l'attaquant.
LunarMail est conçu pour être déployé sur les postes de travail des utilisateurs plutôt que sur les serveurs, et persiste en tant que complément Outlook. Ses méthodes opérationnelles reflètent celles de LightNeuron , une autre porte dérobée de Turla qui utilise des messages électroniques pour les communications C&C.
