在对欧洲政府机构的攻击中发现新的后门媒体
新发现的LunarWeb和LunarMail后门程序
重点信息
ESET安全研究人员发现了两个新后门程序,分别名为LunarWeb和LunarMail,这些后门攻击了一个未透露姓名的欧洲外交部及其三个中东外交使团。攻击者似乎自2020年初就开始利用这些后门程序,攻击手段尚未确定,但据怀疑与钓鱼攻击及配置错误的Zabbix软件有关。
据The Hacker News报道,这些后门程序可能自2020年初以来一直在被使用。攻击途径仍不明确,但初步怀疑是通过网络钓鱼和配置不当的Zabbix软件进行的。
攻击序列的开端是一种恶意的ASPNET网页,该网页解码了两个嵌入的blob,分别包含LunarLoader和LunarWeb。该网页在接收到特定cookie后,会解密下一步的有效载荷。LunarWeb在服务器上部署,利用HTTP(S)进行指挥控制通信,并已被观察到伪装成合法请求。它会收集系统数据,从图像文件中解析命令,并以加密格式提取结果,后门程序还会伪装其网络流量,使其看起来是合法的。
与此同时,LunarMail通过恶意Word文档在钓鱼邮件中传播,部署LunarLoader和后门程序。它使用Outlook进行指挥控制,将执行结果嵌入PNG图像或PDF中,并作为电子邮件附件发送。
该网络间谍活动被中等可信度地归因于与俄罗斯相关的高级持续威胁组织Turla,该组织以其自1996年以来的复杂操作而闻名。
相关信息表
后门名称靶向对象攻击手法LunarWeb欧洲外交部、中东外交使团恶意ASPNET网页、伪装网络流量LunarMail钓鱼邮箱用户恶意Word文档、利用Outlook执行警告 建议相关组织加强网络安全防护,防止潜在的网络攻击和信息泄露。
狂飙加速器下载