Το Ευρωπαϊκό Υπουργείο Εξωτερικών και οι τρεις διπλωματικές του αποστολές στη Μέση Ανατολή έπεσαν θύματα κυβερνοκατασκοπείας από την ομάδα Turla που συνδέεται με τη Ρωσία.

Η ESET ανακάλυψε δύο νέα backdoors, που ονομάζονται LunarWeb και LunarMail. Το LunarWeb, παριστάνει τα νόμιμα αιτήματα HTTP(S) για επικοινωνία εντολών και ελέγχου (C&C), ενώ το LunarMail, μια ειδική προσθήκη του Outlook για τους σταθμούς εργασίας, χρησιμοποιεί email για τον ίδιο σκοπό. Τα backdoors αυτά, που πιθανώς είναι ενεργά από τις αρχές του 2020, εμφανίζουν στρατηγικές, όπως αυτές της Turla και στοχεύουν διάφορους τομείς.

Η Turla, η οποία έχει συνδέσεις με την Ομοσπονδιακή Υπηρεσία Ασφαλείας της Ρωσίας (FSB), χρησιμοποιεί ένα προηγμένο σύνολο εργαλείων και έχει προηγουμένως στοχεύσει πολωνικές οργανώσεις με το backdoor TinyTurla-NG. Ο τρόπος διείσδυσης παραμένει ασαφής, αλλά θα μπορούσε να εμπλέκει τεχνικές spear-phishing και την εκμετάλλευση ελαττωμάτων στο λογισμικό Zabbix. Η αλυσίδα της επίθεσης αρχίζει με μια μεταγλωττισμένη ιστοσελίδα ASP.NET, η οποία αποκρυπτογραφεί το LunarLoader και το LunarWeb.

Το LunarMail εξαπλώθηκε μέσω email phishing που περιείχαν κακόβουλα έγγραφα του Word. Το LunarWeb λάμβανε πληροφορίες συστήματος και εκτελούσε εντολές, ενώ το LunarMail λειτουργούσε μέσω του Outlook, επιτρέποντας εργασίες όπως ο ορισμός προφίλ και η λήψη στιγμιότυπων οθόνης. Και τα δύο backdoors εξάγουν δεδομένα σε κρυπτογραφημένες μορφές, με εξόδους ενσωμάτωσης του LunarMail σε συνημμένα PNG ή PDF.

Αυτό το περιστατικό υπογραμμίζει την επίμονη απειλή του Turla, που χαρακτηρίζεται από εξειδικευμένους hackers και εξελισσόμενα εργαλεία, με το LunarMail να μοιράζεται ομοιότητες με το LightNeuron, ένα άλλο backdoor της Turla που χρησιμοποιεί email για C&C.