Turla Group implementeert LunarWeb- en LunarMail-achterdeurtjes in diplomatieke missies

Een niet bij naam genoemd Europees Ministerie van Buitenlandse Zaken (MFA) en zijn drie diplomatieke missies in het Midden-Oosten waren het doelwit van twee voorheen ongedocumenteerde achterdeurtjes, gevolgd als LunarWeb en LunarMail.

ESET, dat de activiteit identificeerde, schreef deze met gemiddeld vertrouwen toe aan de aan Rusland gelieerde cyberspionagegroep Turla (ook bekend als Iron Hunter, Pensive Ursa, Secret Blizzard, Snake, Uroburos en Venomous Bear), daarbij verwijzend naar tactische overlappingen met eerdere campagnes waarvan werd vastgesteld dat ze waren georkestreerd door de groep.

“LunarWeb, geïmplementeerd op servers, gebruikt HTTP(S) voor zijn C&C (command-and-control) communicatie en bootst legitieme verzoeken na, terwijl LunarMail, geïmplementeerd op werkstations, blijft bestaan ​​als een Outlook-invoegtoepassing en e-mailberichten gebruikt voor zijn C&C communicatie”, zegt veiligheidsonderzoeker Filip Jurčacko.

Uit een analyse van de maanartefacten blijkt dat ze mogelijk al sinds begin 2020, of zelfs eerder, bij gerichte aanvallen zijn gebruikt.

Turla, waarvan wordt aangenomen dat het verbonden is met de Russische Federale Veiligheidsdienst (FSB), is een geavanceerde persistente dreiging (APT) waarvan bekend is dat deze al sinds 1996 actief is. Het heeft een staat van dienst als het gaat om het aanvallen van een reeks industrieën, waaronder de overheid, ambassades, het leger , onderwijs-, onderzoeks- en farmaceutische sectoren.

Eerder dit jaar werd ontdekt dat de cyberspionagegroep Poolse organisaties aanviel om een ​​achterdeur genaamd TinyTurla-NG (TTNG) te verspreiden.

“De Turla-groep is een hardnekkige tegenstander met een lange geschiedenis van activiteiten”, merkte Trend Micro op in een analyse van de zich ontwikkelende toolset van de bedreigingsactoren. “Hun oorsprong, tactieken en doelen duiden allemaal op een goed gefinancierde operatie met zeer bekwame agenten.”

De exacte inbraakvector die is gebruikt om de MFA te doorbreken is momenteel onbekend, hoewel vermoed wordt dat er mogelijk sprake is van spearphishing en de exploitatie van verkeerd geconfigureerde Zabbix-software.

LunarWeb en LunarMail

Het startpunt van de aanvalsketen, samengesteld door ESET, begint met een gecompileerde versie van een ASP.NET-webpagina die wordt gebruikt als kanaal om twee ingebedde blobs te decoderen, waaronder een lader met de codenaam LunarLoader en de LunarWeb-achterdeur.

Wanneer de pagina wordt opgevraagd, verwacht deze specifiek een wachtwoord in een cookie met de naam SMSKey die, indien aanwezig, wordt gebruikt om een ​​cryptografische sleutel af te leiden voor het ontsleutelen van de payloads in de volgende fase.

“De aanvaller had al netwerktoegang, gebruikte gestolen inloggegevens voor zijdelingse verplaatsing en ondernam zorgvuldige stappen om de server in gevaar te brengen zonder argwaan te wekken”, merkte Jurčacko op.

LunarMail daarentegen wordt verspreid via een kwaadaardig Microsoft Word-document dat wordt verzonden via een spearphishing-e-mail, die op zijn beurt LunarLoader en de achterdeur inpakt.

LunarWeb is uitgerust om systeeminformatie te verzamelen en opdrachten te parseren in JPG- en GIF-beeldbestanden die vanaf de C&C-server worden verzonden, waarna de resultaten worden teruggefilterd in een gecomprimeerd en gecodeerd formaat. Het probeert verder op te vallen door zijn netwerkverkeer te vermommen als legitiem ogend (bijvoorbeeld een Windows-update).

Met de C&C-instructies kan de achterdeur shell- en PowerShell-opdrachten uitvoeren, Lua-code uitvoeren, bestanden lezen/schrijven en gespecificeerde paden archiveren. Het tweede implantaat, LunarMail, ondersteunt vergelijkbare mogelijkheden, maar lift met name mee op Outlook en gebruikt e-mail voor communicatie met de C&C-server door te zoeken naar bepaalde berichten met PNG-bijlagen.

Enkele van de andere commando's die specifiek zijn voor LunarMail omvatten de mogelijkheid om een ​​Outlook-profiel in te stellen om te gebruiken voor C&C, willekeurige processen te creëren en schermafbeeldingen te maken. De uitvoeringsresultaten worden vervolgens ingebed in een PNG-afbeelding of PDF-document voordat ze als bijlagen in e-mails naar een door de aanvaller gecontroleerde inbox worden geëxfiltreerd.

“Deze achterdeur is ontworpen om te worden ingezet op gebruikerswerkstations, niet op servers – omdat deze persistent is en bedoeld is om te draaien als een Outlook-invoegtoepassing”, aldus Jurčacko. “LunarMail deelt ideeën over de werking ervan met LightNeuron, een andere achterdeur van Turla die e-mailberichten gebruikt voor C&C-doeleinden.”

Thijs Van der Does