Des chercheurs en sécurité ont découvert deux portes dérobées inédites baptisées Lunar Web et Lunar Mail qui ont été utilisées pour compromettre les institutions diplomatiques d’un gouvernement européen à l’étranger.

Les logiciels malveillants ont été utilisés pour pirater le ministère des Affaires étrangères d’un pays européen ayant des missions diplomatiques au Moyen-Orient et sont actifs depuis au moins 2020.

Des chercheurs de la société de cybersécurité ESET pensent que les portes dérobées pourraient être connectées au groupe de pirates informatiques parrainé par l’État russe Turla, bien que l’attribution ait une confiance moyenne à ce stade.

Chaîne d’attaque lunaire
Dans son rapport, ESET indique que l’attaque commence par des courriels de spear-phishing qui transportent des fichiers Word avec un code macro malveillant pour installer la porte dérobée LunarMail sur le système cible.

La macro VBA établit également la persistance sur l’hôte infecté en créant un complément Outlook, en veillant à ce qu’il soit activé chaque fois que le client de messagerie est lancé.

Complément Outlook malveillant

Les analystes d’ESET ont également vu des preuves indiquant l’abus potentiel d’un outil de surveillance de réseau open source mal configuré Zabbix pour abandonner la charge utile LunarWeb.

Plus précisément, un composant imitant un journal d’agent Zabbix est déployé sur un serveur et, lorsqu’il est accédé avec un mot de passe spécifique via une requête HTTP, il déchiffre et exécute les composants du chargeur et de la porte dérobée.

LunarWeb persiste sur le périphérique compromis en utilisant plusieurs techniques, notamment la création d’extensions de stratégie de groupe, le remplacement des DLL système et le déploiement dans le cadre d’un logiciel légitime.

Les deux charges utiles sont décryptées par un chargeur de logiciels malveillants que les chercheurs ont appelé « LunarLoader » à partir d’un blob crypté à l’aide des chiffrements RC4 et AES-256. Le chargeur utilise le nom de domaine DNS pour le déchiffrement et s’assure qu’il s’exécute uniquement dans l’environnement ciblé.

Une fois que les portes dérobées lunaires sont en cours d’exécution sur l’hôte, les attaquants peuvent envoyer des commandes directement via le serveur de commande et de contrôle (C2) et utiliser des informations d’identification volées et des contrôleurs de domaine compromis pour se déplacer latéralement sur le réseau.

Les deux chaînes d’infection observées dans la campagne

LunarWeb et Courrier lunaire
Les deux portes dérobées lunaires sont conçues pour une surveillance prolongée et secrète, le vol de données et le maintien du contrôle sur les systèmes compromis, tels que les cibles de grande valeur comme les institutions gouvernementales et diplomatiques.

LunarWeb est déployé sur des serveurs, imitant le trafic légitime en usurpant les en-têtes HTTP des mises à jour des produits Windows et ESET.

Il reçoit des commandes pour l’exécution qui sont cachées dans .JPG et .Fichiers d’image GIF utilisant la technique de stéganographie.

Les commandes prises en charge par LunarWeb incluent l’exécution de commandes shell et PowerShell, la collecte d’informations système, l’exécution de code Lua, la compression de fichiers et l’exfiltration de données sous forme cryptée AES-256.

Les chercheurs d’ESET disent avoir observé une attaque au cours de laquelle l’acteur menaçant a largué LunarWeb sur trois institutions diplomatiques du ministère européen des Affaires étrangères ciblé à quelques minutes d’intervalle.

L’attaquant a peut-être pu déplacer cela rapidement parce qu’il avait auparavant eu accès au contrôleur de domaine du ministère et l’avait exploité pour se déplacer vers des machines d’autres institutions sur le réseau.

LunarMail est déployé sur les postes de travail des utilisateurs avec Microsoft Outlook installé.

Il utilise un système de communication par courrier électronique (Outlook MAPI) pour l’échange de données avec des profils Outlook spécifiques liés au C2 afin d’échapper à la détection dans des environnements où le trafic HTTPS peut être surveillé de plus près.

Les commandes envoyées depuis le C2 sont intégrées dans les pièces jointes des e-mails, généralement masquées .Images PNG, que la porte dérobée analyse pour extraire les instructions cachées.

LunarMail peut créer des processus, prendre des captures d’écran, écrire des fichiers et exécuter du code Lua. L’exécution du script Lua lui permet d’exécuter indirectement des commandes shell et PowerShell si nécessaire.

Diagramme opérationnel du courrier lunaire

Sur la base des similitudes observées dans les tactiques, techniques et procédures (TTP) entre l’ensemble d’outils Lunaires et les activités passées, ESET attribue les portes dérobées au groupe de piratage russe Turla avec une confiance moyenne.

Cependant, les chercheurs ont remarqué « divers degrés de sophistication dans les compromis », ce qui suggère que les outils ont été développés et exploités par plusieurs personnes.

Bien que les intrusions proviennent de données plus récentes, ESET a trouvé des artefacts indiquant que les portes dérobées ont été utilisées dans les opérations et ont échappé à la détection depuis au moins 2020.

La société de cybersécurité fournit une liste d’indicateurs de compromission (IOC) pour les fichiers, les chemins de fichiers, le réseau et les clés de registre observés dans des environnements compromis. Une liste complète est disponible ici.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *