Puerta trasera LunaWeb
Un Ministerio de Asuntos Exteriores europeo (MAE) y sus tres misiones diplomáticas en Oriente Medio se vieron afectados recientemente por una nueva puerta trasera llamada LunarWeb, que no había sido documentada antes. Además, los atacantes utilizaron otra herramienta maliciosa, denominada LunarMail. Los investigadores creen con confianza media que este ciberataque es obra del grupo de ciberespionaje Turla, alineado con Rusia, conocido por varios alias, incluidos Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos y Venomous Bear. La atribución se basa en similitudes en las tácticas observadas en campañas anteriores asociadas con este actor de amenazas.
LunarWeb opera en servidores que utilizan HTTP(S) para sus comunicaciones de comando y control (C&C), disfrazando su actividad como solicitudes legítimas. Por otro lado, LunarMail, implementado en estaciones de trabajo, permanece persistente como complemento de Outlook y utiliza mensajes de correo electrónico para sus comunicaciones C&C. Un examen de los artefactos lunares sugiere que podrían haber sido empleados en ataques dirigidos ya en 2020, o posiblemente incluso antes.
Tabla de contenido
La APT de Turla es un actor de amenazas importante en la escena del cibercrimen
Turla, considerada afiliada al Servicio Federal de Seguridad (FSB) de Rusia, es una amenaza persistente avanzada (APT) que se sabe que está activa desde al menos 1996. Tiene un historial de apuntar a una variedad de industrias que abarcan gobiernos, embajadas y militares. , educación, investigación y sectores farmacéutico.
A principios de 2024, se descubrió que el grupo de ciberespionaje atacaba a organizaciones polacas para distribuir una puerta trasera llamada TinyTurla-NG (TTNG). El grupo Turla es un adversario persistente con una larga historia de actividades. Sus orígenes, tácticas y objetivos indican una operación bien financiada con agentes altamente capacitados.
Vectores de infección para la entrega de la puerta trasera LunarWeb
Actualmente se desconoce el método preciso utilizado para violar la MFA, pero se sospecha que involucra elementos de phishing y explotación de software Zabbix mal configurado. Se cree que la etapa inicial del ataque comienza con una versión compilada de una página web ASP.NET, que sirve como conducto para decodificar dos blobs incrustados que contienen LunarLoader (un cargador) y la puerta trasera LunarWeb.
En este proceso, cuando se accede a la página, se espera una contraseña dentro de una cookie llamada SMSKey. Si se proporciona, esta contraseña se utiliza para derivar una clave criptográfica para descifrar cargas útiles posteriores. Es probable que el atacante tuviera acceso a la red preexistente, utilizó credenciales robadas para el movimiento lateral y tomó acciones deliberadas para comprometer el servidor de manera discreta.
Por otro lado, LunarMail se difunde a través de un documento malicioso de Microsoft Word enviado a través de correos electrónicos de phishing, que incluye cargas útiles de LunarLoader y la puerta trasera asociada.
¿Cómo funcionan las puertas traseras LunarWeb y LunarMail una vez ejecutadas?
LunarWeb es capaz de recopilar información del sistema y ejecutar comandos integrados en archivos de imágenes JPG y GIF recibidos del servidor C&C. Luego, los resultados se comprimen y cifran antes de enviarse nuevamente. Para evadir la detección, LunarWeb disfraza su tráfico de red para que parezca actividades legítimas como las actualizaciones de Windows.
Las instrucciones de C&C permiten a LunarWeb ejecutar comandos de Shell y PowerShell, ejecutar código Lua, manipular archivos y archivar directorios específicos. Otro implante, LunarMail, posee funcionalidades similares pero opera de manera única al integrarse con Outlook y comunicarse con su servidor C&C a través del correo electrónico, escaneando mensajes específicos que contengan archivos adjuntos PNG.
Los comandos de LunarMail incluyen configurar un perfil de Outlook para C&C, iniciar procesos arbitrarios y realizar capturas de pantalla. El resultado de estas acciones se oculta en imágenes PNG o documentos PDF antes de enviarse como archivos adjuntos de correo electrónico a una bandeja de entrada controlada por el atacante.
LunarMail está diseñado para implementarse en estaciones de trabajo de usuarios en lugar de servidores, y persiste como un complemento de Outlook. Sus métodos operativos reflejan los de LightNeuron , otra puerta trasera de Turla que emplea mensajes de correo electrónico para las comunicaciones C&C.
