هکرهای روسی از بدافزار جدیدی به نام لونار برای نفوذ به سازمانهای دولتی در اروپا استفاده میکنند. این بدافزار را محققان امنیتی در ESET کشف کردهاند.
بهگزارش تکناک، محققان امنیت سایبری دو بدافزار جدید با نامهای LunarWeb و LunarMail را کشف کردهاند که برای نفوذ به سازمانهای دیپلماتیک یکی از کشورهای اروپایی استفاده شدهاند. محققان شرکت امنیت سایبری ESET بر این باورند که ممکن است بدافزارهای لونار به گروه هکری دولتی روسیه موسوم به Turla مرتبط باشند.
فهرست مطالب
زنجیره حمله Lunar
بلیپینگکامپیوتر مینویسد که در گزارش ESET آمده است که حمله لونار با ایمیلهای فریبنده (Spear-phishing) آغاز میشود. این ایمیلها حاوی فایلهای ورد با کد ماکرو مخرب هستند که بدافزار LunarMail را روی سیستم هدف نصب میکنند. ماکرو VBA با ایجاد افزونه اوتلوک، نفوذ خود را در سیستم آلوده دائمی میکند و مطمئن میشود با هر بار راهاندازی ایمیلخوان این افزونه فعال شود.
محققان ESET شواهدی نیز پیدا کردهاند که نشان میدهد از یکی از ابزارهای نظارت شبکه متنباز به نام Zabbix که بهدرستی پیکربندی نشده، برای انتقال محموله مخرب LunarWeb سوءاستفاده شده است. بهطور خاص، جزئی که تظاهر به Log (گزارش) عامل Zabbix میکند، روی سرور مستقر میشود و هنگامیکه با گذرواژه خاصی ازطریق درخواست HTTP دردسترس قرار میگیرد، اجزای Loader و Backdoor را رمزگشایی و اجرا میکند.
LunarWeb با استفاده از چندین تکنیک ازجمله ایجاد افزونههای Group Policy و جایگزینی DLLهای سیستمی و استقرار بهعنوان بخشی از نرمافزارهای مجاز، در دستگاه نفوذیافته باقی میماند. هر دو محموله مخرب که محققان آن را LunarLoader نامیدهاند، بهواسطه Loader از بخش رمزگذاریشده با استفاده از الگوریتمهای رمزنگاری RC4 و AES-256 رمزگشایی میشوند.
این لودر از نام دامنه DNS برای رمزگشایی استفاده میکند و اطمینان میدهد که فقط در محیط هدف اجرا میشود. پس از اجرای درهای پشتی Lunar روی سیستم میزبان، مهاجمان ممکن است مستقیماً ازطریق سرور فرمان و کنترل (C2) دستورها را ارسال کنند و از اعتبارهای سرقتشده و کنترلکنندههای دامنه بهخطرافتاده برای حرکت جانبی در شبکه استفاده کنند.
بدافزارهای LunarWeb و LunarMail
دو بدافزار جدید با نامهای LunarWeb و LunarMail برای جاسوسی پنهان طولانیمدت و سرقت اطلاعات و حفظ کنترل روی سیستمهای آلوده، بهویژه اهداف باارزش مانند سازمانهای دولتی و دیپلماتیک، طراحی شدهاند.
لونار وب روی سرورها مستقر میشود و با جعل هِدِرهای HTTP بهروزرسانیهای محصولات ویندوز و ESET، ترافیک مشروع را تقلید میکند. LunarWeb نیز دستورهای اجرایی را دریافت میکند که با استفاده از تکنیک استگانوگرافی در فایلهای تصویری .JPG و .GIF پنهان شدهاند.
برخی از دستورهایی که LunarWeb پشتیبانی میکند، شامل اجرای دستورهای Shell و PowerShell، جمعآوری اطلاعات سیستم، اجرای کد Lua، فشردهسازی فایلها و خروج اطلاعات بهصورت رمزگذاریشده با الگوریتم AES-256 است.
محققان ESET میگویند حملهای را مشاهده کردهاند که در آن عامل تهدید، LunarWeb را تنها با چند دقیقه فاصله روی سه مؤسسه دیپلماتیک وزارت امورخارجه کشور اروپایی هدف قرار داده است. ممکن است مهاجم بهدلیل دسترسی قبلی به کنترلکننده دامنه وزارتخانه، توانسته بهسرعت به دستگاههای سایر مؤسسهها در شبکه نفوذ کند.
LunarMail روی ایستگاههای کاری کاربران مجهز به مایکروسافت اوتلوک نصب میشود. لونار میل برای برقراری ارتباط با سرور فرمان و کنترل (C2) از سیستم ارتباطی مبتنیبر ایمیل (Outlook MAPI) استفاده میکند و پروفایلهای اوتلوکی مرتبط با C2 را هدف قرار میدهد تا در محیطهایی که ترافیک HTTPS بیشتر تحتنظارت است، از شناسایی فرار کند.
دستورهای ارسالی از C2 در ضمیمههای ایمیل، معمولاً در تصاویر .PNG جاسازی میشوند و بدافزار این تصاویر را برای استخراج دستورالعملهای پنهان تجزیهوتحلیل میکند. LunarMail میتواند فرایند ایجاد کند، اسکرینشات بگیرد، فایل بنویسد و کد Lua را اجرا کند. اجرای اسکریپت Lua درصورت نیاز، به آن امکان اجرای غیرمستقیم دستورهای Shell و PowerShell را میدهد.
براساس شباهتهایی که در تاکتیکها و تکنیکها و رویههای مشاهدهشده (TTPها) بین ابزار Lunar و فعالیتهای گذشته وجود دارد، ESET با اطمینان تقریباً زیاد بدافزارهای لونار را به گروه هکری روسی Turla نسبت میدهد. بااینحال، محققان متوجه «سطح پیچیدگی متغیر در حملات» شدهاند که نشان میدهد این ابزارها را افراد مختلف توسعه دادهاند و اداره میکنند.
با اینکه نفوذها مربوط به تاریخهای اخیر است، ESET شواهدی پیدا کرده که نشان میدهد این بدافزارها از حداقل سال ۲۰۲۰ در عملیات سوءاستفاده شدهاند و از شناسایی طفره رفتهاند. شرکت امنیت سایبری ESET فهرستی از شاخصهای سازش (IoC) برای فایلها، مسیرهای فایل، شبکه و کلیدهای رجیستری مشاهدهشده در محیطهای آلوده را ارائه میدهد که فهرست کامل آنها را اینجا میتوانید مشاهده کنید.
