TURLA APT使用了两个新后门渗透欧洲外交部

ESET研究人员发现了两个之前未知的后门，名为LunarWeb和LunarMail，这些后门被利用来攻击欧洲外交部。这两个后门旨在在目标网络中进行长期妥协，窃取数据并保持对受损系统的控制。这两个后门入侵了一个欧洲外交部（MFA）及其在国外的外交使团。专家们推测Lunar工具集至少自2020年以来一直在使用。ESET将这两个后门归于与俄罗斯有关的APT组织Turla，中度可信。

Turla APT组织（又称Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON）自2004年以来一直活跃于中东、亚洲、欧洲、北美和南美以及前苏联地区的外交和政府组织以及私营企业。

ESET观察到的入侵的初始访问方法尚不清楚。然而，证据表明可能存在利用钓鱼和配置错误的Zabbix网络和应用程序监视软件的入侵方式。研究人员注意到LunarWeb组件模仿了Zabbix日志，并通过后门命令检索Zabbix代理配置。专家们还发现了钓鱼消息，包括一份武器化的Word文档安装LunarMail后门。

"LunarWeb部署在服务器上，使用HTTP(S)进行C&C通信，并模仿合法请求，而LunarMail部署在工作站上，作为Outlook附加组件持久存在，并使用电子邮件进行C&C通信。”这是ESET发布的报告中的内容。LunarWeb使用多种持久化方法，包括创建组策略扩展、替换系统DLL和作为合法软件的一部分进行部署。ESET报告称，执行链始于他们追踪到的名为LunarLoader的加载器。它使用RC4对称密钥密码来解密有效负载。一旦Lunar后门侵犯了系统，它就等待来自C2服务器的命令。网络间谍还使用盗取的凭据进行横向移动。LunarWeb还可以执行shell和PowerShell命令，收集系统信息，运行Lua代码，并以AES-256加密形式外传数据。

“我们当前的调查始于检测到一个加载器解密和运行来自未知服务器的外部文件的有效负载。这使我们发现了一个以前未知的后门，我们将其命名为LunarWeb。随后，我们在欧洲某MFA的外交机构中检测到了类似的链条，部署了LunarWeb。值得注意的是，攻击者还包括了第二个后门——我们称之为LunarMail——它使用不同的方法进行命令和控制（C&C）通信。”报告继续说道。“在另一次攻击中，我们观察到在中东某MFA的三个外交机构中同时部署了LunarWeb链条，且这些部署几乎在同一时间发生。攻击者可能事先已经访问了该MFA的域控制器，并利用它进行横向移动到同一网络中相关机构的计算机。”

LunarMail部署在使用Microsoft Outlook的工作站上，利用基于电子邮件的通信系统（Outlook Messaging API (MAPI)）来避免在监控HTTPS流量的环境中被检测到。该后门通过电子邮件附件与C2服务器进行通信，通常隐藏在.PNG图像中。LunarMail可以创建进程，截取屏幕，写入文件，并执行Lua脚本，从而间接地运行shell和PowerShell命令。

“我们观察到了各种程度上的妥协；例如，在被侵犯的服务器上谨慎安装以避免被安全软件扫描，与后门中的编码错误和不同的编码风格（这不是本博文的范围内）形成对比。这表明多个人可能参与了这些工具的开发和运作。”报告总结道。“尽管所描述的妥协较为最近，我们的发现表明这些后门已经至少自2020年以来一直逃避检测，并且已经在使用中，这基于我们在Lunar工具集中发现的物证。”

原文始发于微信公众号（黑猫安全）：TURLA APT使用了两个新后门渗透欧洲外交部