Multi-License Discount Quote
脅威データベース Backdoors LunarWeb バックドア

LunarWeb バックドア

Backdoors, Advanced Persistent Threat (APT)Mezoまで
翻訳内容:
日本語

欧州外務省(MFA)と中東にある同省の3つの外交使節団が最近、これまで文書化されていなかったLunarWebと呼ばれる新しいバックドアの攻撃を受けた。さらに、攻撃者はLunarMailと呼ばれる別の悪意のあるツールも使用した。研究者らは、このサイバー攻撃はロシアと連携したサイバースパイ集団Turlaによるものだと中程度の確信を持って考えている。同集団はIron Hunter、Pensive Ursa、Secret Blizzard、Snake、 Uroburos 、Venomous Bearなど、さまざまな別名で知られている。この攻撃者の特定は、この脅威アクターに関連する過去のキャンペーンで観察された戦術の類似性に基づいている。

LunarWeb は、コマンド アンド コントロール (C&C) 通信に HTTP(S) を使用するサーバー上で動作し、その活動を正当なリクエストに偽装します。一方、ワークステーションに展開された LunarMail は Outlook アドインとして永続的に存在し、C&C 通信に電子メール メッセージを使用します。Lunar アーティファクトの調査から、2020 年初頭、あるいはそれ以前に標的型攻撃に使用されていた可能性があることが示唆されています。

Turla APTはサイバー犯罪シーンにおける主要な脅威アクターです

Turla はロシア連邦保安庁 (FSB) と関係があると評価されており、少なくとも 1996 年から活動していることが知られている高度な持続的脅威 (APT) です。政府、大使館、軍事、教育、研究、製薬部門など、さまざまな業界を標的にしてきた実績があります。

2024 年初頭、このサイバースパイグループがポーランドの組織を攻撃し、TinyTurla-NG (TTNG) というバックドアを配布しているのが発見されました。Turla グループは、長い活動歴を持つ執拗な敵対者です。その起源、戦術、標的はすべて、高度なスキルを持つ工作員を擁する、資金力のある活動を示しています。

LunarWebバックドア配信の感染ベクトル

MFA を侵害するために使用された正確な方法は現在のところ不明ですが、スピアフィッシングの要素と、誤って構成された Zabbix ソフトウェアの悪用が関係していると思われます。攻撃の初期段階は、ASP.NET Web ページのコンパイル済みバージョンから始まり、LunarLoader (ローダー) と LunarWeb バックドアを含む 2 つの埋め込み BLOB をデコードするための経路として機能すると考えられています。

このプロセスでは、ページにアクセスすると、SMSKey という Cookie 内のパスワードが要求されます。このパスワードが提供された場合、後続のペイロードを復号するための暗号キーを導出するために使用されます。攻撃者は、既存のネットワーク アクセスを持っていて、盗んだ資格情報を使用して横方向の移動を行い、サーバーを慎重に侵害するための意図的な行動をとった可能性があります。

一方、LunarMail は、スピアフィッシング メールを通じて送信される悪意のある Microsoft Word 文書を介して拡散され、その中には LunarLoader のペイロードと関連するバックドアが含まれています。

LunarWeb および LunarMail バックドアは実行されるとどのように動作するのでしょうか?

LunarWeb は、システム情報を収集し、C&C サーバーから受信した JPG および GIF 画像ファイルに埋め込まれたコマンドを実行することができます。結果は圧縮され、暗号化されてから送信されます。検出を回避するために、LunarWeb はネットワーク トラフィックを Windows アップデートなどの正当なアクティビティに見せかけて偽装します。

C&C 命令により、LunarWeb はシェルおよび PowerShell コマンドの実行、Lua コードの実行、ファイルの操作、および指定されたディレクトリのアーカイブが可能になります。別のインプラントである LunarMail も同様の機能を備えていますが、Outlook と統合し、電子メールを介して C&C サーバーと通信し、PNG 添付ファイルを含む特定のメッセージをスキャンするという独自の動作をします。

LunarMail のコマンドには、C&C 用の Outlook プロファイルの設定、任意のプロセスの起動、スクリーンショットのキャプチャなどが含まれます。これらのアクションからの出力は、PNG 画像または PDF ドキュメント内に隠され、攻撃者が管理する受信トレイに電子メールの添付ファイルとして送信されます。

LunarMail は、サーバーではなくユーザーのワークステーションに展開するように設計されており、Outlook アドインとして存続します。その動作方法は、C&C 通信に電子メール メッセージを使用する別の Turla バックドアであるLightNeuronと似ています。

トレンド

Onlinenothome.com

Rogue Websites, Browser Hijackers
Onlinenothome.comページに遭遇したユーザーは注意が必要です。結局のところ、このサイトは、人気のあるブラウザベースの戦術を広め、不要なリダイレクトを引き起こすために作成されました。インターネットには、Onlinenothome.comと実質的に同一のWebサイトがたくさんあることに注意してください。それらは、表示された「許可」ボタンを押すようにユーザーを説得するように設計された...

X-finder.pro

Browser Hijackers, 望ましくない可能性のあるプログラム
ここ数か月、サイバーセキュリティの分野で懸念される傾向が浮上しています。X-Finder. Search と呼ばれる新しいブラウザ ハイジャッカーです。X-Finder. Search は CrackedCantil ドロッパー マルウェアによって配布され、システムに侵入してインターネット ブラウザの設定を操作し、関連する偽の検索エンジン X-Finder.pro の使用を促進します。この欺...

緩い検索

Browser Hijackers
Lax Search は、laxsearch.com の疑わしい検索エンジンを宣伝するために設計された侵入型アプリケーションです。このアプリケーションは、ユーザーのブラウザを乗っ取り、いくつかの重要な設定を上書きすることで目的を達成します。その結果、laxsearch.com サイトへのリダイレクトが生成され始めます。Lax Search は、ユーザーのブラウジング アクティビティもスパイす...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
82,723
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
65,768
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

Msedge.exeとは何ですか?

Issue
60,622
一部の Windows ユーザーは、システムのバックグラウンドで「msedge.exe」という名前のプロセスがアクティブになっていることに気付く場合があります。通常、この特定のプロセスは Microsoft Edge ブラウザーの一部であるため、心配する必要はありません。 msedge.exe アプリケーションがシステムの CPU または RAM リソースを大量に消費している場合でも、ブラウ...
読み込んでいます...