خانه » استقرار دو بکدور LunarWeb و LunarMail توسط گروه Turla

استقرار دو بکدور LunarWeb و LunarMail توسط گروه Turla

توسط Vulnerbyte
77 بازدید
بکدور LunarWeb - بکدور LunarMail - گروه Turla- نفوذ به وزارت امور خارجه اروپا و نمایندگی‌های دیپلماتیک

محققان ESET، اخیرا دو بکدور جدید به نام‌های LunarWeb و LunarMail را کشف کرده‌اند. این بکدورها توسط گروه جاسوسی سایبری روسی Turla  (تورلا) برای نفوذ به وزارت امور خارجه و نهادهای دیپلماتیک یکی از کشورهای اروپایی استفاده شده است. بکدورها از سال 2020 فعال بوده و شباهت‌هایی با فعالیت‌های پیشین Turla دارند.

Turla که با نام Snake (مار) نیز شناخته می‌شود، حداقل از سال 2004 فعال می‌باشد. این گروه جاسوسی سایبری که تصور می‌شود بخشی از FSB روسیه است، عمدتاً نهادهای برجسته مانند دولت‌ها و سازمان‌های دیپلماتیک اروپا، آسیای مرکزی و خاورمیانه را مورد هدف قرار می‌دهد.

این گروه به دلیل نفوذ به سازمان‌های بزرگ، از جمله وزارت دفاع ایالات متحده در سال 2008 و شرکت دفاعی سوئیسی RUAG در سال 2014، بدنام می‌باشد. یکی از حملات گروه جاسوسی سایبری Turla در اوایل سال جاری، نفوذ به سازمان‌های لهستانی به منظور استقرار بکدور TinyTurla-NG (TTNG) بود.

حمله توسط ایمیل‌های فیشینگ هدفمند و بهره برداری از پیکربندی نادرست نرم افزار Zabbix آغاز می‌شود. ایمیل‌های فیشینگ، حاوی فایل Word همراه با کد ماکرو مخرب می‌باشند و بکدور LunarMail را بر روی سیستم هدف نصب می‌کنند. LunarMail شامل LunarLoader و بکدور است.

ماکرو VBA همچنین با ایجاد یک افزونه Outlook، تداوم دسترسی را بر روی میزبان آلوده تضمین می‌کند. افزونه Outlook با هر بار راه‌اندازی کلاینت ایمیل، فعال می‌شود.

بکدور LunarWeb - بکدور LunarMail - گروه Turla- نفوذ به وزارت امور خارجه اروپا و نمایندگی‌های دیپلماتیک - افزونه مخرب Outlook
شکل ۱- افزونه مخرب Outlook

زنجیره نفوذ در این مرحله توسط نسخه کامپایل شده یک صفحه وب ASP.NET، وارد مرحله بعد می‌شود:

				
					<IIS_web_root>\aspnet_client\system_web.aspx
<IIS_web_root>\aspnet_client\system_web.cs

				
			

نام فایل system_web.aspx، یک IoC شناخته شده از Hafnium می‌باشد؛ یک APT چینی که به دلیل سوء استفاده از آسیب‌ پذیری‌ها در سرور Microsoft Exchange شناخته شده است.

این صفحه وب برای رمزگشایی لودر LunarLoader و بکدور LunarWeb، استفاده می‌شود. هنگامی که صفحه system_web.aspx درخواست می‌گردد، انتظار می‌رود از یک رمز عبور خاصِ ذخیره شده در یک کوکی به نام SMSKey برای استخراج کلید رمزگذاری به منظور رمزگشایی پیلودهای مرحله بعدی استفاده شود.

بکدور LunarWeb - بکدور LunarMail - گروه Turla- نفوذ به وزارت امور خارجه اروپا و نمایندگی‌های دیپلماتیک
شکل ۲- دو زنجیره نفوذ مجموعه ابزار Lunar مشاهده شده

بکدور LunarWeb، که بر روی سرورها مستقر می‌شود، از HTTP(S) برای ارتباطات فرماندهی و کنترل (C&C) خود استفاده و درخواست‌های قانونی را شبیه سازی می‌کند. این در حالی است که بکدور LunarMail، در ایستگاه‌های کاری (workstationها) مستقر می‌گردد و به عنوان یک افزونه Outlook عمل می‌کند. LunarMail از پیام‌های ایمیل برای ارتباطات C&C خود استفاده می‌کند.

یادآوری این نکته مهم است که بگوییم، مهاجم در این نفوذ (نفوذ به وزارت امور خارجه و نهادهای دیپلماتیک اروپا)، از قبل به شبکه دسترسی داشته است، از گواهی های اعتبار ربوده شده برای حرکت جانبی در شبکه استفاده کرده و اقدامات دقیقی را برای نفوذ به سرور بدون ایجاد هیچگونه حساسیت به انجام رسانده است.

LunarWeb موظف به جمع‌آوری اطلاعات سیستم و تحلیل دستورات درون فایل‌های تصویری JPG و GIF است که از سرور C&C ارسال می‌شوند. بکدور LunarWeb، نتایج را در قالب فایل رمزگذاری‌ و فشرده شده به سرور ارسال می‌کند.

دستورالعمل‌های C&C به بکدور اجازه می‌دهد تا دستورات Shell و PowerShell و همچنین کد Lua را اجرا کند، فایل‌ها را بخواند/بنویسد و مسیرهای مشخص شده را بایگانی نماید.

LunarWeb با استفاده از چندین تکنیک که شامل ایجاد افزونه‌های Group Policy، جایگزینی DLL‌های سیستم و استقرار به عنوان بخشی از نرم ‌افزار قانونی است، فعالیت خود را بر روی دستگاه آلوده ادامه می‌دهد.

ایمپلنت دوم، یعنی LunarMail، از قابلیت‌های مشابهی پشتیبانی می‌کند. LunarMail استفاده ‌ویژه‌ای از Outlook دارد و از ایمیل برای ارتباط با سرور C&C خود توسط جستجوی پیام‌های خاص با پیوست‌های PNG استفاده می‌کند.

برخی از دستورات خاص بکدور LunarMail شامل توانایی تنظیم پروفایل Outlook برای استفاده توسط C&C، ایجاد فرآیندهای دلخواه و گرفتن اسکرین شات است.

LunarMail سپس خروجی‌ها را در یک تصویر PNG یا سند PDF پنهان می‌کند و آنها را به عنوان پیوست در ایمیل ضمیمه کرده و به آدرس تحت کنترل مهاجم ارسال خواهد کرد. این بکدور به منظور استقرار در ایستگاه‌های کاری کاربر طراحی شده است (نه سرورها).

عملیات LunarMail
شکل ۳- عملیات LunarMail

بکدور LunarMail ایده‌های مربوط به عملکرد خود را با LightNeuron، بکدور دیگر Turla که از پیام‌های ایمیل برای اهداف C&C استفاده می‌کند، به اشتراک می‌گذارد. اگرچه هر دو از یک روش استخراج مشابه استفاده می‌کنند، اما هیچ شباهتی میان کد این دو بکدور مشاهده نشده است.

شرکت امنیت سایبریESET ، فهرستی از IoCهای این نفوذ به اشتراک گذاشته است که از اینجا قابل دسترس می‌باشد.

 

منابع

همچنین ممکن است دوست داشته باشید

پیام بگذارید