LunarWeb и LunarMail Backdoor IOCs

security IOC

Исследователи ESET представили технический анализ набора инструментов Lunar, который, вероятно, использовался APT-группой Turla, проникшей в европейское министерство иностранных дел и его дипломатические представительства. Они назвали два ранее неизвестных бэкдора LunarWeb и LunarMail, которые использовались для взлома. Бэкдор LunarWeb развертывается на серверах и использует HTTP(S) для связи с C&C, а LunarMail сохраняется в виде дополнения Outlook и использует сообщения электронной почты для связи с C&C. Оба бэкдора используют стеганографию, чтобы скрыть команды в изображениях.

Обнаружены общие части кодовых баз и использование сценариев Lua в этих бэкдорах. Исследователи также отмечают, что группа Turla, известная также как Snake, активна с 2004 года и, возможно, даже с конца 1990-х. Их атаки нацелены на правительства и дипломатические организации в Европе, Центральной Азии и на Ближнем Востоке.

Расследование началось с обнаружения загрузчика на неизвестном сервере, после чего было найдено два ранее неизвестных бэкдора - LunarWeb и LunarMail. Один из этих бэкдоров был найден в дипломатическом учреждении европейского министерства иностранных дел. Также обнаружены параллельные атаки с использованием LunarWeb на трех дипломатических учреждениях на Ближнем Востоке. Исследование позволило обнаружить и другие компоненты, используемые в атаке, такие как компоненты, используемые для установки и организации коммуникации.

Также отмечается, что взломные машины принадлежат европейскому министерству иностранных дел и связаны с его дипломатическими миссиями на Ближнем Востоке. Хотя нет точной информации о способе первоначального доступа, но судя по компонентам установки и активности злоумышленников, предполагается использование копьеметательных тактик и возможное злоупотребление неправильно настроенным программным обеспечением для мониторинга сетей и приложений Zabbix.

Таким образом, исследование ESET показало, что APT-группа Turla использовала набор инструментов Lunar для взлома европейского министерства иностранных дел и его дипломатических представительств. Были обнаружены ранее неизвестные бэкдоры LunarWeb и LunarMail, которые использовались для связи с C&C и скрывали команды в изображениях с помощью стеганографии. Также было обнаружено сходство между этими инструментами и предыдущими действиями группы Turla. Бэкдор LunarWeb развертывался на серверах, а LunarMail сохранялся в виде дополнения Outlook. Атаки были связаны с дипломатическими миссиями на Ближнем Востоке и, вероятно, включали использование копьеметательных тактик и уязвимостей в программном обеспечении Zabbix.

Indicators of Compromise

IPv4

  • 139.162.23.113
  • 158.220.102.80
  • 161.97.74.237
  • 176.57.150.252
  • 212.57.35.174
  • 212.57.35.176
  • 45.33.24.145
  • 45.79.93.87
  • 65.109.179.67
  • 74.50.80.35
  • 82.165.158.86
  • 82.223.55.220

Domains

  • thedarktower.av.master.dns-cloud.net

SHA1

  • 00006b30806f915911349d82beeb1aeb9025adb4
  • 19d86cf2ed82eae23e019706fae8dafc60552e85
  • 2ed792e39f7d56de52bdf4aed96afc898478bfdf
  • 4c84110f1b10df5fdd612759e210e44b0f0505ef
  • 512e4fa7d6119270ff44a3b2a2359ee8825392ef
  • 5d3975e57bdcb630a00febe5d405eefb6d119d86
  • 5ef771afc96c24371d367448627609cfacb34a57
  • 67c6aec8d129e610378ef52f8bf934886587932f
  • 754fb657156643fd09a68ec9fc124528578cab0c
  • 795c4127d42fe8dfaf4510b406b52ba5bede8d3a
  • 94a4ce9c75bc847e7be59b96c4133d677d909414
  • 9cec3972fa35c88de87bd66950e18b3e0a6df77c
  • de83c2c3fe68cb1bf96173e9ee3ea6161dcfb24a
  • f09e36553e48ebd42e60d9b25a390c0f57ff8de0
  • fcae66f6d95c78dc829688cc0f4c39bb5a57828b
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий