Исследователи ESET представили технический анализ набора инструментов Lunar, который, вероятно, использовался APT-группой Turla, проникшей в европейское министерство иностранных дел и его дипломатические представительства. Они назвали два ранее неизвестных бэкдора LunarWeb и LunarMail, которые использовались для взлома. Бэкдор LunarWeb развертывается на серверах и использует HTTP(S) для связи с C&C, а LunarMail сохраняется в виде дополнения Outlook и использует сообщения электронной почты для связи с C&C. Оба бэкдора используют стеганографию, чтобы скрыть команды в изображениях.
Обнаружены общие части кодовых баз и использование сценариев Lua в этих бэкдорах. Исследователи также отмечают, что группа Turla, известная также как Snake, активна с 2004 года и, возможно, даже с конца 1990-х. Их атаки нацелены на правительства и дипломатические организации в Европе, Центральной Азии и на Ближнем Востоке.
Расследование началось с обнаружения загрузчика на неизвестном сервере, после чего было найдено два ранее неизвестных бэкдора - LunarWeb и LunarMail. Один из этих бэкдоров был найден в дипломатическом учреждении европейского министерства иностранных дел. Также обнаружены параллельные атаки с использованием LunarWeb на трех дипломатических учреждениях на Ближнем Востоке. Исследование позволило обнаружить и другие компоненты, используемые в атаке, такие как компоненты, используемые для установки и организации коммуникации.
Также отмечается, что взломные машины принадлежат европейскому министерству иностранных дел и связаны с его дипломатическими миссиями на Ближнем Востоке. Хотя нет точной информации о способе первоначального доступа, но судя по компонентам установки и активности злоумышленников, предполагается использование копьеметательных тактик и возможное злоупотребление неправильно настроенным программным обеспечением для мониторинга сетей и приложений Zabbix.
Таким образом, исследование ESET показало, что APT-группа Turla использовала набор инструментов Lunar для взлома европейского министерства иностранных дел и его дипломатических представительств. Были обнаружены ранее неизвестные бэкдоры LunarWeb и LunarMail, которые использовались для связи с C&C и скрывали команды в изображениях с помощью стеганографии. Также было обнаружено сходство между этими инструментами и предыдущими действиями группы Turla. Бэкдор LunarWeb развертывался на серверах, а LunarMail сохранялся в виде дополнения Outlook. Атаки были связаны с дипломатическими миссиями на Ближнем Востоке и, вероятно, включали использование копьеметательных тактик и уязвимостей в программном обеспечении Zabbix.
Indicators of Compromise
IPv4
- 139.162.23.113
- 158.220.102.80
- 161.97.74.237
- 176.57.150.252
- 212.57.35.174
- 212.57.35.176
- 45.33.24.145
- 45.79.93.87
- 65.109.179.67
- 74.50.80.35
- 82.165.158.86
- 82.223.55.220
Domains
- thedarktower.av.master.dns-cloud.net
SHA1
- 00006b30806f915911349d82beeb1aeb9025adb4
- 19d86cf2ed82eae23e019706fae8dafc60552e85
- 2ed792e39f7d56de52bdf4aed96afc898478bfdf
- 4c84110f1b10df5fdd612759e210e44b0f0505ef
- 512e4fa7d6119270ff44a3b2a2359ee8825392ef
- 5d3975e57bdcb630a00febe5d405eefb6d119d86
- 5ef771afc96c24371d367448627609cfacb34a57
- 67c6aec8d129e610378ef52f8bf934886587932f
- 754fb657156643fd09a68ec9fc124528578cab0c
- 795c4127d42fe8dfaf4510b406b52ba5bede8d3a
- 94a4ce9c75bc847e7be59b96c4133d677d909414
- 9cec3972fa35c88de87bd66950e18b3e0a6df77c
- de83c2c3fe68cb1bf96173e9ee3ea6161dcfb24a
- f09e36553e48ebd42e60d9b25a390c0f57ff8de0
- fcae66f6d95c78dc829688cc0f4c39bb5a57828b