نفوذ هکرهای روسی به سازمان‌های دولتی اروپا با بدافزار لونار

01

از 02

زنجیره‌ حمله‌ Lunar

بلیپینگ‌کامپیوتر می‌نویسد که در گزارش ESET آمده است که حمله لونار با ایمیل‌های فریبنده (Spear-phishing) آغاز می‌شود. این ایمیل‌ها حاوی فایل‌های ورد با کد ماکرو مخرب هستند که بدافزار LunarMail را روی سیستم هدف نصب می‌کنند. ماکرو VBA با ایجاد افزونه‌ اوت‌لوک، نفوذ خود را در سیستم آلوده دائمی می‌کند و مطمئن می‌شود با هر بار راه‌اندازی ایمیل‌خوان این افزونه فعال شود.

محققان ESET شواهدی نیز پیدا کرده‌اند که نشان می‌دهد از یکی از ابزارهای نظارت شبکه متن‌باز به نام Zabbix که به‌درستی پیکربندی نشده، برای انتقال محموله‌ مخرب LunarWeb سوء‌استفاده شده است. به‌طور خاص، جزئی که تظاهر به Log (گزارش) عامل Zabbix می‌کند، روی سرور مستقر می‌شود و هنگامی‌که با گذرواژه‌ خاصی از‌طریق درخواست HTTP دردسترس قرار می‌گیرد، اجزای Loader و Backdoor را رمزگشایی و اجرا می‌کند.

LunarWeb با استفاده از چندین تکنیک ازجمله ایجاد افزونه‌های Group Policy و جایگزینی DLLهای سیستمی و استقرار به‌عنوان بخشی از نرم‌افزارهای مجاز، در دستگاه نفوذیافته باقی می‌ماند. هر دو محموله‌ مخرب که محققان آن را LunarLoader نامیده‌اند، به‌واسطه Loader از بخش رمزگذاری‌شده با استفاده از الگوریتم‌های رمزنگاری RC4 و AES-256 رمزگشایی می‌شوند.

این لودر از نام دامنه‌ DNS برای رمزگشایی استفاده می‌کند و اطمینان می‌دهد که فقط در محیط هدف اجرا می‌شود. پس از اجرای درهای پشتی Lunar روی سیستم میزبان، مهاجمان ممکن است مستقیماً ازطریق سرور فرمان و کنترل (C2) دستورها را ارسال کنند و از اعتبارهای سرقت‌شده و کنترل‌کننده‌های دامنه‌ به‌خطر‌افتاده برای حرکت جانبی در شبکه استفاده کنند.

02

از 02

بدافزارهای LunarWeb و LunarMail

دو بدافزار جدید با نام‌های LunarWeb و LunarMail برای جاسوسی پنهان طولانی‌مدت و سرقت اطلاعات و حفظ کنترل روی سیستم‌های آلوده، به‌ویژه اهداف باارزش مانند سازمان‌های دولتی و دیپلماتیک، طراحی شده‌اند.

لونار وب روی سرورها مستقر می‌شود و با جعل هِدِرهای HTTP به‌روزرسانی‌های محصولات ویندوز و ESET، ترافیک مشروع را تقلید می‌کند. LunarWeb نیز دستورهای اجرایی را دریافت می‌کند که با استفاده از تکنیک استگانوگرافی در فایل‌های تصویری .JPG و .GIF پنهان شده‌اند.

برخی از دستورهایی که LunarWeb پشتیبانی می‌کند، شامل اجرای دستورهای Shell و PowerShell، جمع‌آوری اطلاعات سیستم، اجرای کد Lua، فشرده‌سازی فایل‌ها و خروج اطلاعات به‌صورت رمزگذاری‌شده با الگوریتم AES-256 است.

محققان ESET می‌گویند حمله‌ای را مشاهده کرده‌اند که در آن عامل تهدید، LunarWeb را تنها با چند دقیقه فاصله روی سه مؤسسه‌ دیپلماتیک وزارت امورخارجه‌ کشور اروپایی هدف قرار داده است. ممکن است مهاجم به‌دلیل دسترسی قبلی به کنترل‌کننده‌ دامنه‌ وزارتخانه، توانسته به‌سرعت به دستگاه‌های سایر مؤسسه‌ها در شبکه نفوذ کند.

LunarMail روی ایستگاه‌های کاری کاربران مجهز به مایکروسافت اوت‌لوک نصب می‌شود. لونار میل برای برقراری ارتباط با سرور فرمان و کنترل (C2) از سیستم ارتباطی مبتنی‌بر ایمیل (Outlook MAPI) استفاده می‌کند و پروفایل‌های اوت‌لوکی مرتبط با C2 را هدف قرار می‌دهد تا در محیط‌هایی که ترافیک HTTPS بیشتر تحت‌نظارت است، از شناسایی فرار کند.

دستورهای ارسالی از C2 در ضمیمه‌های ایمیل، معمولاً در تصاویر .PNG جاسازی می‌شوند و بدافزار این تصاویر را برای استخراج دستورالعمل‌های پنهان تجزیه‌و‌تحلیل می‌کند. LunarMail می‌تواند فرایند ایجاد کند، اسکرین‌شات بگیرد، فایل بنویسد و کد Lua را اجرا کند. اجرای اسکریپت Lua درصورت نیاز، به آن امکان اجرای غیرمستقیم دستورهای Shell و PowerShell را می‌دهد.

براساس شباهت‌هایی که در تاکتیک‌ها و تکنیک‌ها و رویه‌های مشاهده‌شده (TTPها) بین ابزار Lunar و فعالیت‌های گذشته وجود دارد، ESET با اطمینان تقریباً زیاد بدافزارهای لونار را به گروه هکری روسی Turla نسبت می‌دهد. با‌این‌حال، محققان متوجه «سطح پیچیدگی متغیر در حملات» شده‌اند که نشان می‌دهد این ابزارها را افراد مختلف توسعه داده‌اند و اداره می‌‌کنند.

با اینکه نفوذها مربوط به تاریخ‌های اخیر است، ESET شواهدی پیدا کرده که نشان می‌دهد این بدافزارها از حداقل سال ۲۰۲۰ در عملیات سوءاستفاده شده‌اند و از شناسایی طفره رفته‌اند. شرکت امنیت سایبری ESET فهرستی از شاخص‌های سازش (IoC) برای فایل‌ها، مسیرهای فایل، شبکه و کلیدهای رجیستری مشاهده‌شده در محیط‌های آلوده را ارائه می‌دهد که فهرست کامل آن‌ها را اینجا می‌توانید مشاهده کنید.