ESET, Lunar araç setinin en az 2020'den beri kullanımda olduğuna inanıyor. ESET araştırmacıları, taktikler, teknikler, prosedürler ve geçmiş faaliyetlerdeki benzerlikler göz önüne alındığında, bu tehditleri Rusya bağlantılı kötü şöhretli Turla siber casusluk grubuna bağlıyor. Kampanyanın amacı siber casusluktur. Süreç, ESET Research'ün tanımlanamayan bir sunucuya konuşlandırılan ve bir dosyanın şifresini çözen ve veriyi yükleyen bir yükleyici tespit etmesiyle başladı. Bu, ESET araştırmacılarının, ESET'in LunarWeb adını verdiği, daha önce bilinmeyen bir arka kapıyı keşfetmesine yol açtı. Daha sonra benzer bir zincir, diplomatik bir görevde konuşlandırılan LunarWeb'de de tespit edildi. İlginç bir şekilde saldırgan, ESET'in LunarMail adını verdiği ve komuta ve kontrol (C&C) iletişimi için farklı bir yöntem kullanan ikinci bir arka kapı da içeriyordu. Başka bir saldırı sırasında ESET, LunarWeb'in Orta Doğu'daki bir Avrupa ülkesinin üç diplomatik misyonunda birbirinden birkaç dakika arayla aynı anda konuşlandırıldığı bir zincir gözlemledi. Saldırgan muhtemelen zaten Dışişleri Bakanlığı etki alanı denetleyicisine erişim kazanmış ve bunu aynı ağdaki etkilenen kurum makinelerine yatay olarak geçmek için kullanmıştı; sunuculara konuşlandırılan LunarWeb, C&C iletişimleri için HTTP(S) kullanıyor ve meşru istekleri yanıltıyor; LunarMail ise. iş istasyonlarında dağıtılan bir Outlook eklentisi olarak bulunur ve C&C, iletişimleri için e-posta mesajlarını kullanır. Her iki arka kapı da, tespit edilmekten kaçınmak için komutların resimlere gizlendiği bir teknik olan steganografiyi kullanıyor. Yükleyicileri, saldırganlar tarafından kullanılan gelişmiş teknikleri gösteren truva atları içeren açık kaynaklı yazılımlar da dahil olmak üzere çeşitli biçimlerde bulunabilir. Lunar araç setini keşfeden ESET araştırmacısı Filip Jurčacko şunları söyledi: “Örneğin, güvenlik yazılımı tarafından taranmayı önlemek için ele geçirilen sunucuya dikkatli kurulum, farklı kodlama hataları ve arka kapı stilleri ile çelişiyor. bu araçların geliştirilmesine ve işleyişine yansıyor.” “Muhtemelen birden fazla kişinin olaya karıştığına işaret ediyor.” Dedi. Kurtarılan kurulumla ilgili bileşenler ve saldırgan etkinliği, ilk potansiyel riskin hedef odaklı kimlik avı ve yanlış yapılandırılmış Zabbix ağı ve uygulama izleme yazılımının yanlış kullanımı yoluyla meydana geldiğini gösteriyor. Dahası, saldırganın zaten ağa erişimi vardı, çalıntı kimlik bilgilerini yanal hareket için kullandı ve şüphe yaratmadan sunucunun güvenliğini aşmak için dikkatli adımlar attı. Başka bir uzlaşma girişiminde araştırmacılar, muhtemelen hedef odaklı kimlik avı e-postasından gelen eski, kötü amaçlı bir Word belgesi buldu. LunarWeb, bilgisayar ve işletim sistemi bilgileri, çalışan işlemlerin listesi, hizmetlerin listesi ve kurulu güvenlik ürünlerinin listesi gibi bilgileri toplar ve bunları sistemden çıkarır. LunarWeb, dosya ve işlem işlemleri ve kabuk komutlarının yürütülmesi dahil olmak üzere ortak arka kapı işlevlerini destekler. LunarMail arka kapısı ilk başlatıldığında, alıcılar (e-posta adresleri) tarafından gönderilen e-posta mesajlarından bilgi toplar. Komut yetenekleri açısından LunarMail daha basittir ve LunarWeb'de bulunan komutların bir alt kümesini içerir. Bir dosya yazabilir, yeni bir eylem oluşturabilir, ekran görüntüsü alabilir ve C&C iletişim e-posta adresini değiştirebilir. Her iki arka kapı da Lua komut dosyalarını yürütme konusunda olağandışı bir yeteneğe sahiptir. Yılan olarak da bilinen Turla, en az 2004'ten beri faaliyet gösteriyor ve muhtemelen 1990'ların sonlarına kadar uzanıyor. Rus FSB'sinin bir parçası olduğuna inanılan Turla, öncelikli olarak Avrupa, Orta Asya ve Orta Doğu'daki hükümetler ve diplomatik kuruluşlar gibi yüksek profilli kurumları hedef alıyor. Grubun 2008'de ABD Savunma Bakanlığı ve 2014'te İsviçre savunma şirketi RUAG'ın da aralarında bulunduğu önemli kuruluşlara sızdığı biliniyor. Kaynak: (guzelhaber.net) Güzel Haber Masası
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–
—–Sponsorlu Bağlantılar—–