​俄罗斯黑客组织Turla利用两个新型后门程序入侵欧洲外交部

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

2024年5月17日

ESET研究人员发现，俄罗斯关联的高级持续性威胁（APT）组织Turla利用两个新的后门程序，分别命名为LunarWeb和LunarMail，成功入侵了欧洲某国的外交部及其驻外使团。

这两个后门程序的设计旨在对目标网络进行长期的渗透、数据窃取以及保持对被攻陷系统的控制。据推测，自2020年以来，Turla APT组织一直在使用这套Lunar工具。ESET以中等信心将这两个后门程序归因于Turla组织。

Turla APT组织简介

Turla APT组织（也被称为Snake、Uroburos、Waterbug、Venomous Bear和KRYPTON）自2004年以来一直活跃，主要攻击对象包括中东、亚洲、欧洲、北美和南美以及前苏联国家的外交和政府机构及私人企业。

入侵手法

尽管ESET尚未明确确认此次入侵的初始访问方法，但证据显示，可能的入侵手段包括鱼叉式网络钓鱼和利用配置错误的Zabbix网络和应用监控软件。研究人员注意到，LunarWeb组件伪装成Zabbix日志，并通过后门命令检索Zabbix代理配置。此外，还发现了包含LunarMail后门的武器化Word文档的鱼叉式钓鱼邮件。

后门程序详解

LunarWeb：部署在服务器上，使用HTTP(S)进行C&C（命令与控制）通信，伪装成合法请求。其多种持久化方法包括创建组策略扩展、替换系统DLL以及作为合法软件的一部分部署。执行链从一个被称为LunarLoader的加载器开始，它使用RC4对称密钥加密解密有效载荷。一旦Lunar后门攻陷系统，它会等待来自C2服务器的命令，还会利用被盗凭证进行横向移动。LunarWeb还能执行Shell和PowerShell命令、收集系统信息、运行Lua代码，并以AES-256加密形式窃取数据。

LunarMail：部署在安装了Microsoft Outlook的工作站上，使用基于电子邮件的通信系统（Outlook Messaging API (MAPI)）以规避对HTTPS流量的监控。该后门通过电子邮件附件与C2服务器通信，附件通常隐藏在.PNG图片中。LunarMail可以创建进程、截图、写入文件和执行Lua脚本，从而间接运行Shell和PowerShell命令。

攻击案例

“我们的调查始于检测到一个加载器在未识别的服务器上解密并运行外部文件中的有效载荷，这引导我们发现了一个之前未知的后门程序，我们命名为LunarWeb。随后，我们检测到在欧洲某国外交机构的另一个类似链条中部署了LunarWeb。值得注意的是，攻击者还包括了第二个后门程序——LunarMail，它使用不同的C&C通信方法。” ESET的报告中写道。

在另一次攻击中，研究人员观察到LunarWeb在该国外交部的三个驻中东外交机构中几乎同时部署，表明攻击者可能事先已获取到该外交部的域控制器，并利用其在同一网络的相关机构的机器上进行横向移动。

总结

尽管这些攻击发生在近期，但我们的研究表明，这些后门程序在更长时间内逃过了检测，基于在Lunar工具集中发现的痕迹，至少自2020年以来一直在使用。这些后门的开发和操作中可能涉及多名个体，因其在编码风格和错误上存在差异。

结论：这次入侵事件突显了高级威胁组织不断创新和改进其攻击工具和技术的能力，同时也提醒各组织应加强网络安全防护和监控，防范类似威胁。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：​俄罗斯黑客组织Turla利用两个新型后门程序入侵欧洲外交部