Tin tặc Nga triển khai backdoor Lunar mới để tấn công vào tổ chức ngoại giao tại châu Âu
Theo đó, hai backdoor mới này được các tác nhân đe dọa triển khai nhằm xâm nhập Bộ Ngoại giao của một quốc gia châu Âu có cơ quan thường trú ở Trung Đông. Tuy nhiên, ESET không chỉ rõ quốc gia bị ảnh hưởng trong báo cáo của mình.
Do những điểm tương đồng về mặt kỹ thuật và hoạt động trong quá khứ, ESET cho rằng chiến dịch này được thực hiện bởi nhóm Turla, nhóm tin tặc này được cho là có liên quan với Cơ quan An ninh Liên bang Nga (FSB).
Các tin tặc Turla chủ yếu nhắm mục tiêu vào các thực thể cấp cao như chính phủ và tổ chức ngoại giao ở châu Âu, Trung Á và Trung Đông. Năm ngoái, Bộ Tư pháp Hoa Kỳ đã xóa bỏ mã độc Snake của nhóm này, sau khi phần mềm độc hại tiến hành các hoạt động gián điệp mạng nhắm vào Hoa Kỳ cùng các nước đồng minh của họ.
Chuỗi tấn công Lunar
ESET cho biết cuộc tấn công bắt đầu bằng các email lừa đảo đính kèm tệp Word có mã macro độc hại để cài đặt backdoor LunarMail vào hệ thống mục tiêu. Macro VBA thiết lập sự tồn tại trên máy chủ bị nhiễm bằng cách tạo Outlook add-in, đảm bảo nó được kích hoạt bất cứ khi nào ứng dụng email client được khởi chạy.
Hình 1. Outlook add-in độc hại
Các nhà nghiên cứu cũng đã phát hiện khả năng các tin tặc lạm dụng công cụ giám sát mạng nguồn mở Zabbix được cấu hình sai để giảm payload LunarWeb. Cụ thể, một thành phần mạo danh log agent của Zabbix được triển khai trên máy chủ và khi truy cập bằng mật khẩu cụ thể thông qua yêu cầu HTTP, nó sẽ giải mã và thực thi các thành phần trình tải độc hại và backdoor.
LunarWeb vẫn tồn tại trên thiết bị bị lây nhiễm bằng cách sử dụng một số kỹ thuật như tạo tiện ích mở rộng của Group Policy, thay thế DLL hệ thống và cài đặt như một phần của phần mềm hợp pháp.
Cả hai payload trên đều được giải mã bằng trình tải phần mềm độc hại mà các nhà nghiên cứu gọi là “LunarLoader” từ một blob được mã hóa bằng mật mã RC4 và AES-256. Trình tải sử dụng tên miền DNS để giải mã và đảm bảo rằng nó chỉ chạy trong môi trường được nhắm mục tiêu.
Khi các backdoor Lunar đang chạy trên máy chủ, kẻ tấn công có thể gửi lệnh trực tiếp thông qua máy chủ điều khiển và ra lệnh (C2), đồng thời sử dụng thông tin xác thực bị đánh cắp cũng như Domain Controller bị xâm phạm để di chuyển ngang trên mạng.
Hình 2. Hai chuỗi lây nhiễm trong chiến dịch
LunarWeb và LunarMail
Hai backdoor của Lunar được thiết kế để bí mật theo dõi, đánh cắp dữ liệu và duy trì quyền kiểm soát đối với các hệ thống bị xâm nhập, chẳng hạn như các mục tiêu có giá trị cao như cơ quan chính phủ và các tổ chức ngoại giao.
LunarWeb được triển khai trên các máy chủ, mạo danh lưu lượng truy cập hợp pháp bằng thông qua các tiêu đề HTTP từ các bản cập nhật sản phẩm Windows và ESET. Phần mềm độc hại này nhận các lệnh thực thi được ẩn trong các tệp hình ảnh .JPG và .GIF bằng kỹ thuật Steganopraphy.
Các lệnh mà LunarWeb hỗ trợ bao gồm thực thi các lệnh shell và PowerShell, thu thập thông tin hệ thống, chạy mã Lua, nén tệp và lọc dữ liệu ở dạng mã hóa AES-256.
Các nhà nghiên cứu của ESET cho biết rằng họ đã quan sát thấy một cuộc tấn công mà trong đó các tin tặc đã phân phối LunarWeb vào ba tổ chức ngoại giao của châu Âu. Kẻ tấn công có thể đã thực hiện việc này một cách nhanh chóng vì trước đó chúng đã có quyền truy cập vào Domain Controller của các cơ quan này và lợi dụng nó để di chuyển sang các máy từ các tổ chức khác trên mạng.
LunarMail được triển khai trên máy trạm của người dùng có cài đặt Microsoft Outlook. Nó sử dụng hệ thống liên lạc dựa trên email (Outlook MAPI) để trao đổi dữ liệu với các cấu hình Outlook cụ thể được liên kết với máy chủ C2 nhằm tránh bị phát hiện.
Các lệnh được gửi từ C2 được nhúng trong các tệp đính kèm email, thường che dấu trong hình ảnh .PNG mà backdoor sẽ phân tích cú pháp để trích xuất lệnh. LunarMail có thể tạo tiến trình, chụp ảnh màn hình, ghi tệp và chạy mã Lua. Việc thực thi tập lệnh Lua cho phép nó chạy gián tiếp các lệnh shell và PowerShell.
Hình 3. Luồng hoạt động của LunarMail
ESET cung cấp danh sách các chỉ báo xâm phạm (IoC) cho các đường dẫn tệp, mạng và khóa registry được quan sát thấy trong môi trường bị xâm nhập. Quý độc giả có thể theo dõi cụ thể tại đây.
Nguyễn Hữu Hưng
(Tổng hợp)