One Article Review
| Source |  RiskIQ |
|---|---|
| Identifiant | 8501846 |
| Date de publication | 2024-05-17 19:11:34 (vue: 2024-05-17 20:08:48) |
| Titre | To the Moon and back(doors): Lunar landing in diplomatic missions |
| Texte | #### Industries ciblées - agences et services gouvernementaux ## Instantané Les chercheurs de l'ESET ont découvert deux déambulations auparavant inconnues, surnommées Lunarweb et Lunarmail, qui ont compromis un ministère européen des Affaires étrangères (MFA) et ses missions diplomatiques à l'étranger.L'enquête indique que l'ensemble d'outils lunaires est actif depuis au moins 2020. Sur la base des tactiques, des techniques et des procédures (TTPS) observés, ESET attribue ces activités de cyber-espionnage au groupe aligné par la Russie Turla, que Microsoft suit comme Secret Blizzard. ## Description Lunarweb est déployé sur des serveurs et utilise des communications HTTP (S) pour les communications de commande et de contrôle (C & C), imitant les demandes légitimes pour échapper à la détection.Lunarmail, en revanche, est déployé sur des postes de travail en tant que complément Outlook et communique via des e-mails.Les deux déambulations utilisent la stéganographie pour cacher les commandes dans les images, ce qui les rend plus difficiles à détecter.De plus, ils partagent des segments de base de code et utilisent un chargeur qui décrypte la charge utile à l'aide de noms de domaine DNS.Le chargeur peut prendre diverses formes, y compris les logiciels open-source trojanisés, présentant les techniques avancées des attaquants \\ '. La découverte a commencé avec la détection d'un chargeur décryptant et exécutant une charge utile sur un serveur non identifié, conduisant à l'identification de Lunarweb.Les enquêtes ultérieures ont révélé que le déploiement de Lunarweb \\ dans une institution diplomatique et la présence simultanée de Lunarmail, qui utilise une méthode de communication C&C différente.D'autres attaques ont montré des déploiements coordonnés dans plusieurs institutions diplomatiques au Moyen-Orient, suggérant que les attaquants avaient déjà accès au contrôleur de domaine de la MFA \\, facilitant le mouvement latéral à travers le réseau. L'analyse d'Eset \\ a également révélé les composants de compromis initiaux et un ensemble limité de commandes utilisées par les attaquants.Les horodatages des échantillons et versions de bibliothèque les plus anciens indiquent que le ensemble d'outils a été opérationnel depuis au moins 2020. L'examen technique détaillé met en évidence l'utilisation de la stéganographie et de diverses méthodes de communication utilisées par les déambulations, soulignant la nature sophistiquée de ces outils de cyber-espionnage. ## Analyse Microsoft Microsoft Threat Intelligence corrobore l'évaluation de ESET \\ que cette activité malveillante est attribuée à Secret Blizzard (aka Turla), sur la base de notre analyse des CIO et de la façon dont les TTP décrits dans ce rapport correspondent étroitement à l'activité secrète précédemment observée. [Secret Blizzard] (https: //security.microsoft.com/intel-profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb. 2FB377C319176239426681412AFB01BF39DCC) est un CA basé en RussieGroupe de Tivity qui cible principalement les ministères des Affaires étrangères, les ministères de la défense, les ambassades et les bureaux du gouvernement dans le monde.Cet acteur se concentre sur l'obtention d'un accès à long terme aux systèmes pour le gain d'intelligence.Secret Blizzard utilise des ressources étendues pour rester sur un réseau cible de manière clandestine, notamment en utilisant des délais supplémentaires et / ou des canaux de communication de logiciels malveillants si les canaux d'accès primaires du groupe \\ sont refusés.En général, le groupe cible les informations d'importance politique, avec un intérêt pour des recherches avancées qui pourraient avoir un impact sur les questions politiques internationales. ## Les références [À la lune et au dos (faireORS): Lunar Landing in Diplomatic Missions] (https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-land |
| Envoyé | Oui |
| Condensat | #### 2020 2024 abroad access accessed across active activities activity actor add additional additionally advanced affairs agencies aligned also analysis and/or are assessment attackers attacks attributed attributes back backdoors based been began blizzard both c&c can channels clandestine closely codebase com/en/eset com/intel command commands communicates communication communications components compromise compromised conceal control controller coordinated corroborates cyber decrypting decrypts defense denied deployed deployment deployments described description detailed detect detection different diplomatic discovery dns domain doors dubbed east email embassies employ employed eset espionage european evade examination extensive facilitating focuses foreign forms from further gain gaining general government group had hand harder has have highlights how http https://security https://www identification images impact importance including indicate indicates industries information initial institution institutions intelligence interest international investigation investigations iocs issues its landing lateral leading least legitimate library limited loader long lunar lunarmail lunarweb making malicious malware manner match messages method methods mfa microsoft middle might mimicking ministries ministry missions missions/ moon movement multiple names nature network observed offices oldest open operational other outlook payload political presence previously primarily primary prior procedures profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb01bf39dcc profiles/01d15f655c45c517f52235d63932fb377c319176239426681412afb01bf39dcchttps://security references remain report requests research research/moon researchers resources revealed running russia samples secret segments server servers services set share showcasing showed simultaneous since snapshot software sophisticated source steganography subsequent suggesting systems tactics take target targeted targets technical techniques term them these threat timestamps tools toolset tracks trojanized ttps ttps://security turla two uncovered underscoring unidentified unknown use used uses using utilizes various versions welivesecurity which within workstations worldwide |
| Tags | Malware Tool Threat Technical |
| Stories | |
| Notes | ★★ |
| Move | 
|
L'article ne semble pas avoir été repris aprés sa publication.
L'article ne semble pas avoir été repris sur un précédent.