Theo đó, hai backdoor mới này được các tác nhân đe dọa triển khai nhằm xâm nhập Bộ Ngoại giao của một quốc gia châu Âu có cơ quan thường trú ở Trung Đông. Tuy nhiên, ESET không chỉ rõ quốc gia bị ảnh hưởng trong báo cáo của mình.
Do những điểm tương đồng về mặt kỹ thuật và hoạt động trong quá khứ, ESET cho rằng chiến dịch này được thực hiện bởi nhóm Turla, nhóm tin tặc này được cho là có liên quan với Cơ quan An ninh Liên bang Nga (FSB).
Các tin tặc Turla chủ yếu nhắm mục tiêu vào các thực thể cấp cao như chính phủ và tổ chức ngoại giao ở châu Âu, Trung Á và Trung Đông. Năm ngoái, Bộ Tư pháp Hoa Kỳ đã xóa bỏ mã độc Snake của nhóm này, sau khi phần mềm độc hại tiến hành các hoạt động gián điệp mạng nhắm vào Hoa Kỳ cùng các nước đồng minh của họ.
ESET cho biết cuộc tấn công bắt đầu bằng các email lừa đảo đính kèm tệp Word có mã macro độc hại để cài đặt backdoor LunarMail vào hệ thống mục tiêu. Macro VBA thiết lập sự tồn tại trên máy chủ bị nhiễm bằng cách tạo Outlook add-in, đảm bảo nó được kích hoạt bất cứ khi nào ứng dụng email client được khởi chạy.
.png)
Hình 1. Outlook add-in độc hại
Các nhà nghiên cứu cũng đã phát hiện khả năng các tin tặc lạm dụng công cụ giám sát mạng nguồn mở Zabbix được cấu hình sai để giảm payload LunarWeb. Cụ thể, một thành phần mạo danh log agent của Zabbix được triển khai trên máy chủ và khi truy cập bằng mật khẩu cụ thể thông qua yêu cầu HTTP, nó sẽ giải mã và thực thi các thành phần trình tải độc hại và backdoor.
LunarWeb vẫn tồn tại trên thiết bị bị lây nhiễm bằng cách sử dụng một số kỹ thuật như tạo tiện ích mở rộng của Group Policy, thay thế DLL hệ thống và cài đặt như một phần của phần mềm hợp pháp.
Cả hai payload trên đều được giải mã bằng trình tải phần mềm độc hại mà các nhà nghiên cứu gọi là “LunarLoader” từ một blob được mã hóa bằng mật mã RC4 và AES-256. Trình tải sử dụng tên miền DNS để giải mã và đảm bảo rằng nó chỉ chạy trong môi trường được nhắm mục tiêu.
Khi các backdoor Lunar đang chạy trên máy chủ, kẻ tấn công có thể gửi lệnh trực tiếp thông qua máy chủ điều khiển và ra lệnh (C2), đồng thời sử dụng thông tin xác thực bị đánh cắp cũng như Domain Controller bị xâm phạm để di chuyển ngang trên mạng.
Hình 2. Hai chuỗi lây nhiễm trong chiến dịch
Hai backdoor của Lunar được thiết kế để bí mật theo dõi, đánh cắp dữ liệu và duy trì quyền kiểm soát đối với các hệ thống bị xâm nhập, chẳng hạn như các mục tiêu có giá trị cao như cơ quan chính phủ và các tổ chức ngoại giao.
LunarWeb được triển khai trên các máy chủ, mạo danh lưu lượng truy cập hợp pháp bằng thông qua các tiêu đề HTTP từ các bản cập nhật sản phẩm Windows và ESET. Phần mềm độc hại này nhận các lệnh thực thi được ẩn trong các tệp hình ảnh .JPG và .GIF bằng kỹ thuật Steganopraphy.
Các lệnh mà LunarWeb hỗ trợ bao gồm thực thi các lệnh shell và PowerShell, thu thập thông tin hệ thống, chạy mã Lua, nén tệp và lọc dữ liệu ở dạng mã hóa AES-256.
Các nhà nghiên cứu của ESET cho biết rằng họ đã quan sát thấy một cuộc tấn công mà trong đó các tin tặc đã phân phối LunarWeb vào ba tổ chức ngoại giao của châu Âu. Kẻ tấn công có thể đã thực hiện việc này một cách nhanh chóng vì trước đó chúng đã có quyền truy cập vào Domain Controller của các cơ quan này và lợi dụng nó để di chuyển sang các máy từ các tổ chức khác trên mạng.
LunarMail được triển khai trên máy trạm của người dùng có cài đặt Microsoft Outlook. Nó sử dụng hệ thống liên lạc dựa trên email (Outlook MAPI) để trao đổi dữ liệu với các cấu hình Outlook cụ thể được liên kết với máy chủ C2 nhằm tránh bị phát hiện.
Các lệnh được gửi từ C2 được nhúng trong các tệp đính kèm email, thường che dấu trong hình ảnh .PNG mà backdoor sẽ phân tích cú pháp để trích xuất lệnh. LunarMail có thể tạo tiến trình, chụp ảnh màn hình, ghi tệp và chạy mã Lua. Việc thực thi tập lệnh Lua cho phép nó chạy gián tiếp các lệnh shell và PowerShell.
.png)
Hình 3. Luồng hoạt động của LunarMail
ESET cung cấp danh sách các chỉ báo xâm phạm (IoC) cho các đường dẫn tệp, mạng và khóa registry được quan sát thấy trong môi trường bị xâm nhập. Quý độc giả có thể theo dõi cụ thể
Nguyễn Hữu Hưng
(Tổng hợp)
10:00 | 25/06/2024
14:00 | 10/05/2024
08:00 | 15/05/2024
10:00 | 07/06/2024
16:00 | 02/05/2024
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
