安全研究人员发现了新的后门程序,分别名为LunarWeb和LunarMail,该程序被用于攻击欧洲政府在海外的外交机构。
此恶意软件被用来入侵在中东有多个外交团的某欧洲国家外交部,该软件至少自2020年以来一直在活跃。
网络安全公司ESET的研究人员认为,这些后门程序可能与俄罗斯国家支持的黑客组织Turla有关。这一推测的可信度属于中等水平。
Lunar攻击链
ESET在其报告中表示,攻击从鱼叉式网络钓鱼邮件开始,这些邮件携带含恶意宏代码的Word文件,用来在目标系统上安装LunarMail后门程序。
VBA宏代码通过创建Outlook插件来在被感染的主机上建立持久性,并确保每次启动电子邮件客户端时该插件都会被激活。
恶意 Outlook 加载项
ESET分析人员还发现潜在滥用配置错误的开源网络监控工具Zabbix来投放LunarWeb有效载荷的证据。
具体来说,服务器上部署了一个模仿Zabbix代理日志的组件,在通过HTTP请求使用特定密码访问时,它会解密并执行加载器和后门组件。
LunarWeb通过多种技术持久存在于被入侵的设备上,技术包括创建组策略扩展、替换系统DLL文件以及作为合法软件的一部分进行部署。
研究人员称,这两个有效载荷由恶意软件加载器”LunarLoader”解密,该加载器使用RC4和AES-256加密算法解密来自加密数据块的内容。此加载器使用DNS域名进行解密操作,并确保仅在目标环境中运行。
一旦Lunar后门在主机上运行,攻击者可以通过指挥C2服务器直接发送命令,并使用被盗凭证和被入侵的域控制器在网络中进行横向移动。
活动中出现的两条感染链
LunarWeb和LunarMail
这两个Lunar后门程序旨在进行长期隐蔽监控、数据盗窃以及保持对受感染系统的控制,例如政府和外交机构等高价值目标。
LunarWeb部署在服务器上,通过伪造Windows和ESET产品更新的HTTP标头模拟合法流量。该后门程序接收隐藏在.JPG和.GIF图像文件中的命令,此命令通过隐写技术隐藏,包括执行shell和PowerShell命令、收集系统信息、运行Lua代码、压缩文件以及以AES-256加密形式外传数据。
ESET研究人员在一次攻击中观察到,黑客在几分钟内将LunarWeb投放到欧洲外交部的三个外交机构。
基于Lunar工具集和过去活动的战术、技术和程序(TTPs)的相似性,ESET将此后门程序归因于俄罗斯黑客组织Turla,可信度为中等。
然而,研究人员注意到存在不同程度的复杂性,这表明该工具可能是由多人开发和操作的。
尽管入侵是最近发生的,但根据ESET发现的证据显示,这些后门至少自2020年以来一直在运作,并且成功地规避了检测。
(转载请注明出处@安全威胁纵横,本文消息来源:https://www.bleepingcomputer.com/news/security/russian-hackers-use-new-lunar-malware-to-breach-a-european-govts-agencies/)
原文始发于微信公众号(安全威胁纵横):俄罗斯黑客使用新的 Lunar 恶意软件入侵欧洲政府机构
