Un Ministerio de Asuntos Exteriores (MFA) de Europa sin nombre y sus tres misiones diplomáticas en Medio Oriente fueron blanco de dos backdoors no documentados anteriormente, denominados LunarWeb y LunarMail.
ESET, que identificó la actividad, la atribuyó con un nivel de confianza medio al grupo de ciberespionaje alineado con Rusia Turla (también conocido como Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos y Venomous Bear), citando coincidencias tácticas con campañas anteriores identificadas como orquestadas por el grupo.
“LunarWeb, desplegado en servidores, utiliza HTTP(S) para sus comunicaciones de C2 [mando y control] y simula solicitudes legítimas, mientras que LunarMail, desplegado en estaciones de trabajo, se mantiene como un complemento de Outlook y utiliza mensajes de correo electrónico para sus comunicaciones de C2,” dijo el investigador de seguridad Filip Jurčacko dijo.
Un análisis de los artefactos lunares muestra que podrían haber sido utilizados en ataques dirigidos desde principios de 2020, o incluso antes.
Se estima que Turla, afiliada al Servicio Federal de Seguridad (FSB) de Rusia, es una amenaza persistente avanzada (APT) que está conocida por estar activa desde al menos 1996. Tiene un historial de atacar una variedad de industrias que abarcan gobierno, embajadas, militares, educación, investigación, y sectores farmacéuticos.
A principios de este año, se descubrió que el grupo de ciberespionaje estaba atacando organizaciones polacas para distribuir un backdoor llamado TinyTurla-NG (TTNG).
“El grupo Turla es un adversario persistente con una larga historia de actividades,” señaló Trend Micro notó en un análisis del conjunto de herramientas en evolución del actor de amenazas. “Sus orígenes, tácticas y objetivos indican una operación bien financiada con operativos altamente capacitados.”
El vector exacto de intrusión utilizado para comprometer al MFA se desconoce actualmente, aunque se sospecha que podría haber implicado un elemento de spear-phishing y la explotación de software Zabbix mal configurado.
El punto de inicio de la cadena de ataque ensamblada por ESET comienza con una versión compilada de una página web ASP.NET que se utiliza como un conducto para decodificar dos bloques incrustados, que incluyen un cargador, con el nombre en clave LunarLoader, y el backdoor LunarWeb.
Específicamente, cuando se solicita la página, espera una contraseña en una cookie llamada SMSKey que, si se suministra, se utiliza para derivar una clave criptográfica para descifrar las cargas útiles de la siguiente etapa.
“El atacante ya tenía acceso a la red, utilizó credenciales robadas para el movimiento lateral, y tomó medidas cuidadosas para comprometer el servidor sin levantar sospechas,” mencionó Jurčacko.
Por otro lado, LunarMail se propaga a través de un documento malicioso de Microsoft Word enviado por correo electrónico de spear-phishing, que a su vez contiene LunarLoader y el backdoor.
LunarWeb está equipado para recopilar información del sistema e interpretar comandos dentro de archivos de imagen JPG y GIF enviados desde el servidor C2, después de lo cual los resultados se exfiltran de regreso en un formato comprimido y encriptado. Además, intenta mezclarse simulando su tráfico de red como legítimo (por ejemplo, actualización de Windows).
Las instrucciones de C2 permiten que el backdoor ejecute comandos de shell y PowerShell, ejecute código Lua, lea/escriba archivos y archive rutas especificadas. El segundo implante, LunarMail, soporta capacidades similares, pero notablemente se apoya en Outlook y utiliza el correo electrónico para comunicarse con su servidor C2 buscando determinados mensajes con archivos PNG adjuntos.
Algunos de los otros comandos específicos de LunarMail incluyen la capacidad de establecer un perfil de Outlook para utilizar en C2, crear procesos arbitrarios y tomar capturas de pantalla. Los resultados de la ejecución luego se incrustan en una imagen PNG o documento PDF antes de exfiltrarlos como archivos adjuntos en correos electrónicos a una bandeja de entrada controlada por el atacante.
“Este backdoor está diseñado para ser desplegado en estaciones de trabajo de usuarios, no en servidores — porque se mantiene y está destinado a ejecutarse como un complemento de Outlook,” dijo Jurčacko. “LunarMail comparte ideas de su operación con LightNeuron, otro backdoor de Turla que utiliza mensajes de correo electrónico para propósitos de C2.”