ESET Research: aan Rusland gelieerde Turla-groep gebruikt waarschijnlijk Lunar arsenaal om Europese diplomaten aan te vallen en te bespioneren

• ESET Research ontdekte twee voorheen onbekende backdoors, genaamd LunarWeb en LunarMail, die een Europees ministerie van Buitenlandse Zaken en zijn diplomatieke missies in het buitenland, voornamelijk in het Midden-Oosten, compromitteerden.
• ESET-onderzoekers schrijven deze compromissen met middelgroot vertrouwen toe aan de beruchte, aan Rusland gelieerde cyberspionagegroep Turla. Het doel van de campagne is cyberspionage.
• Turla, ook bekend als Snake, is actief sinds ten minste 2004, mogelijk zelfs daterend uit de late jaren 1990. Het wordt verondersteld deel uit te maken van de Russische FSB.
• ESET is ervan overtuigd dat de Lunar-toolset al sinds ten minste 2020 in gebruik is.
• Beide backdoors maken gebruik van steganografie, een techniek waarbij commando's in afbeeldingen worden verborgen om detectie te voorkomen.

Sliedrecht, 15 mei 2024 – ESET-onderzoekers ontdekten twee voorheen onbekende backdoors die een Europees ministerie van Buitenlandse Zaken en zijn diplomatieke missies in het buitenland, voornamelijk in het Midden-Oosten, in gevaar brachten. ESET heeft de achterdeuren LunarWeb en LunarMail genoemd. ESET is ervan overtuigd dat de Lunar toolset al sinds ten minste 2020 wordt gebruikt en, gezien de overeenkomsten tussen de tactieken, technieken, procedures en activiteiten uit het verleden, schrijven ESET-onderzoekers deze compromissen met middelgroot vertrouwen toe aan de beruchte, aan Rusland gelieerde cyberspionagegroep Turla. Het doel van de campagne is cyberspionage.

Het ESET-onderzoek startte met de detectie van een loader die is geïmplementeerd op een niet-geïdentificeerde server, die een payload van een bestand ontsleutelt en laadt. Dit leidde ESET-onderzoekers naar de ontdekking van een voorheen onbekende achterdeur, die ESET LunarWeb noemde. Vervolgens werd een soortgelijke keten met LunarWeb bij een diplomatieke missie ontdekt. De aanvaller voegde ook een tweede achterdeur - die ESET LunarMail noemde – toe. Deze gebruikt een andere methode voor command and control (C&C) communicatie. Tijdens een andere aanval observeerde ESET gelijktijdige inzet van een keten met LunarWeb bij drie diplomatieke missies van een Europees land in het Midden-Oosten, die binnen enkele minuten na elkaar plaatsvonden. De aanvaller had waarschijnlijk eerder toegang tot de domeincontroller van het ministerie van Buitenlandse Zaken en gebruikte deze voor laterale verplaatsing naar machines, van verwante instellingen in hetzelfde netwerk.

LunarWeb, geïmplementeerd op servers, gebruikt HTTP(S) voor zijn C&C-communicatie en bootst legitieme verzoeken na, terwijl LunarMail, geïmplementeerd op werkstations, blijft bestaan als een Outlook-add-in en e-mailberichten gebruikt voor zijn C&C-communicatie. Beide backdoors maken gebruik van steganografie, een techniek waarbij commando's in afbeeldingen worden verborgen om detectie te voorkomen. Hun loaders kunnen in verschillende vormen bestaan, waaronder getrojaniseerde open-source software, die de geavanceerde technieken van de aanvallers demonstreert.

"We hebben verschillende gradaties van verfijning waargenomen in de compromissen - bijvoorbeeld de zorgvuldige installatie op de gecompromitteerde server om scannen door beveiligingssoftware te voorkomen, in tegenstelling tot coderingsfouten en verschillende coderingsstijlen van de backdoors. Dit suggereert dat er waarschijnlijk meerdere personen betrokken waren bij de ontwikkeling en werking van deze tools", zegt ESET-onderzoeker Filip Jurčacko, die de Lunar toolset ontdekte.

Herstelde installatiegerelateerde componenten en aanvalleractiviteit suggereren dat mogelijke initiële compromittering plaatsvond via spearphishing en misbruik van verkeerd geconfigureerde netwerk- en applicatiebewakingssoftware Zabbix. Bovendien had de aanvaller al toegang tot het netwerk, gebruikte hij gestolen inloggegevens voor laterale verplaatsing en nam hij zorgvuldige stappen om de server te compromitteren, zonder argwaan te wekken. In een ander compromis vonden onderzoekers een ouder kwaadaardig Word-document, waarschijnlijk afkomstig van een spearphishing-e-mail.

LunarWeb verzamelt en exfiltreert informatie van het systeem, zoals informatie over computers en besturingssystemen, een lijst met actieve processen, een lijst met services en een lijst met geïnstalleerde beveiligingsproducten. LunarWeb ondersteunt algemene backdoor-mogelijkheden, waaronder bestands- en procesbewerkingen en het uitvoeren van shell-commando's. Bij de eerste run verzamelt de LunarMail-backdoor informatie uit de verzonden e-mailberichten (e-mailadressen) van ontvangers. In termen van commandomogelijkheden is LunarMail eenvoudiger en bevat het een subset van de commando's die in LunarWeb te vinden zijn. Het kan een bestand schrijven, een nieuw proces maken, een screenshot maken en het e-mailadres van de C&C-communicatie wijzigen. Beide achterdeuren hebben de ongebruikelijke mogelijkheid om Lua-scripts uit te voeren.

Turla, ook bekend als Snake, is actief sinds ten minste 2004, mogelijk zelfs daterend uit de late jaren 1990. Turla wordt verondersteld deel uit te maken van de Russische FSB en richt zich voornamelijk op spraakmakende entiteiten zoals regeringen en diplomatieke organisaties in Europa, Centraal-Azië en het Midden-Oosten. De groep is berucht vanwege het doorbreken van grote organisaties, waaronder het Amerikaanse ministerie van Defensie in 2008 en het Zwitserse defensiebedrijf RUAG in 2014.

Voor meer technische informatie over de Lunar toolset, lees de blogpost "To the Moon and back(doors): Lunar landing in diplomatic missions." Zorg ervoor dat je ESET Research volgt op Twitter (tegenwoordig bekend als X) voor het laatste nieuws.

Illustratie van een exfiltratie-e-mail met gegevens verborgen in de afbeelding.