Theo đó, hai backdoor mới này được các tác nhân đe dọa triển khai nhằm xâm nhập Bộ Ngoại giao của một quốc gia châu Âu có cơ quan thường trú ở Trung Đông. Tuy nhiên, ESET không chỉ rõ quốc gia bị ảnh hưởng trong báo cáo của mình.
Do những điểm tương đồng về mặt kỹ thuật và hoạt động trong quá khứ, ESET cho rằng chiến dịch này được thực hiện bởi nhóm Turla, nhóm tin tặc này được cho là có liên quan với Cơ quan An ninh Liên bang Nga (FSB).
Các tin tặc Turla chủ yếu nhắm mục tiêu vào các thực thể cấp cao như chính phủ và tổ chức ngoại giao ở châu Âu, Trung Á và Trung Đông. Năm ngoái, Bộ Tư pháp Hoa Kỳ đã xóa bỏ mã độc Snake của nhóm này, sau khi phần mềm độc hại tiến hành các hoạt động gián điệp mạng nhắm vào Hoa Kỳ cùng các nước đồng minh của họ.
ESET cho biết cuộc tấn công bắt đầu bằng các email lừa đảo đính kèm tệp Word có mã macro độc hại để cài đặt backdoor LunarMail vào hệ thống mục tiêu. Macro VBA thiết lập sự tồn tại trên máy chủ bị nhiễm bằng cách tạo Outlook add-in, đảm bảo nó được kích hoạt bất cứ khi nào ứng dụng email client được khởi chạy.
.png)
Hình 1. Outlook add-in độc hại
Các nhà nghiên cứu cũng đã phát hiện khả năng các tin tặc lạm dụng công cụ giám sát mạng nguồn mở Zabbix được cấu hình sai để giảm payload LunarWeb. Cụ thể, một thành phần mạo danh log agent của Zabbix được triển khai trên máy chủ và khi truy cập bằng mật khẩu cụ thể thông qua yêu cầu HTTP, nó sẽ giải mã và thực thi các thành phần trình tải độc hại và backdoor.
LunarWeb vẫn tồn tại trên thiết bị bị lây nhiễm bằng cách sử dụng một số kỹ thuật như tạo tiện ích mở rộng của Group Policy, thay thế DLL hệ thống và cài đặt như một phần của phần mềm hợp pháp.
Cả hai payload trên đều được giải mã bằng trình tải phần mềm độc hại mà các nhà nghiên cứu gọi là “LunarLoader” từ một blob được mã hóa bằng mật mã RC4 và AES-256. Trình tải sử dụng tên miền DNS để giải mã và đảm bảo rằng nó chỉ chạy trong môi trường được nhắm mục tiêu.
Khi các backdoor Lunar đang chạy trên máy chủ, kẻ tấn công có thể gửi lệnh trực tiếp thông qua máy chủ điều khiển và ra lệnh (C2), đồng thời sử dụng thông tin xác thực bị đánh cắp cũng như Domain Controller bị xâm phạm để di chuyển ngang trên mạng.
Hình 2. Hai chuỗi lây nhiễm trong chiến dịch
Hai backdoor của Lunar được thiết kế để bí mật theo dõi, đánh cắp dữ liệu và duy trì quyền kiểm soát đối với các hệ thống bị xâm nhập, chẳng hạn như các mục tiêu có giá trị cao như cơ quan chính phủ và các tổ chức ngoại giao.
LunarWeb được triển khai trên các máy chủ, mạo danh lưu lượng truy cập hợp pháp bằng thông qua các tiêu đề HTTP từ các bản cập nhật sản phẩm Windows và ESET. Phần mềm độc hại này nhận các lệnh thực thi được ẩn trong các tệp hình ảnh .JPG và .GIF bằng kỹ thuật Steganopraphy.
Các lệnh mà LunarWeb hỗ trợ bao gồm thực thi các lệnh shell và PowerShell, thu thập thông tin hệ thống, chạy mã Lua, nén tệp và lọc dữ liệu ở dạng mã hóa AES-256.
Các nhà nghiên cứu của ESET cho biết rằng họ đã quan sát thấy một cuộc tấn công mà trong đó các tin tặc đã phân phối LunarWeb vào ba tổ chức ngoại giao của châu Âu. Kẻ tấn công có thể đã thực hiện việc này một cách nhanh chóng vì trước đó chúng đã có quyền truy cập vào Domain Controller của các cơ quan này và lợi dụng nó để di chuyển sang các máy từ các tổ chức khác trên mạng.
LunarMail được triển khai trên máy trạm của người dùng có cài đặt Microsoft Outlook. Nó sử dụng hệ thống liên lạc dựa trên email (Outlook MAPI) để trao đổi dữ liệu với các cấu hình Outlook cụ thể được liên kết với máy chủ C2 nhằm tránh bị phát hiện.
Các lệnh được gửi từ C2 được nhúng trong các tệp đính kèm email, thường che dấu trong hình ảnh .PNG mà backdoor sẽ phân tích cú pháp để trích xuất lệnh. LunarMail có thể tạo tiến trình, chụp ảnh màn hình, ghi tệp và chạy mã Lua. Việc thực thi tập lệnh Lua cho phép nó chạy gián tiếp các lệnh shell và PowerShell.
.png)
Hình 3. Luồng hoạt động của LunarMail
ESET cung cấp danh sách các chỉ báo xâm phạm (IoC) cho các đường dẫn tệp, mạng và khóa registry được quan sát thấy trong môi trường bị xâm nhập. Quý độc giả có thể theo dõi cụ thể tại đây.
Nguyễn Hữu Hưng
(Tổng hợp)
10:00 | 25/06/2024
08:00 | 15/05/2024
14:00 | 10/05/2024
10:00 | 09/12/2024
15:00 | 13/12/2024
10:00 | 07/06/2024
16:00 | 02/05/2024
09:00 | 24/02/2025
Vụ tấn công lớn nhất lịch sử tiền mã hóa đã diễn ra vào ngày 21/2, khi ví Bybit đã bị hacker lấy đi số ETH trị giá 1,46 tỷ USD. Trước đó, Bybit thu hút giới đầu tư tiền mã hóa bởi việc tuyên bố không niêm yết Pi và ám chỉ rằng đó là dự án lừa đảo.
10:00 | 14/02/2025
Một chiến dịch phần mềm độc hại mới có tên là SparkCat đã tận dụng một loạt ứng dụng giả mạo trên cửa hàng ứng dụng của Apple và Google để đánh cắp Seed Phrase (một tập hợp các chữ cái cho phép người dùng truy cập, hoặc khôi phục các ví điện tử đã tạo trước đó) của nạn nhân.
17:00 | 28/01/2025
Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.
09:00 | 30/12/2024
Năm 2024, các cuộc tấn công mạng diễn ra trên mọi lĩnh vực, từ y tế đến tài chính, ngân hàng.... Tin tặc không chỉ đánh cắp dữ liệu cá nhân, mà còn thực hiện các cuộc tấn công ransomware tinh vi, đe dọa trực tiếp đến sự hoạt động của các cơ sở y tế. Nguy hiểm hơn là sự tinh vi và quy mô ngày càng tăng của các cuộc tấn công gián điệp của tin tặc Trung Quốc nhằm vào Hoa Kỳ và các đồng minh. Các chuyên gia tin rằng đây là một động thái chiến lược của Bắc Kinh nhằm có khả năng phá vỡ hoặc phá hủy các dịch vụ quan trọng trong trường hợp căng thẳng địa chính trị leo thang hoặc xung đột quân sự.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
11:00 | 11/03/2025
