详细内容或原文请订阅后点击阅览
往返月球(门):外交任务中的登月
ESET 研究人员对 Lunar 工具集进行了技术分析,该工具集可能由 Turla APT 组织使用,该组织渗透到了欧洲外交部
来源:WeLiveSecurity _恶意软件ESET 研究人员发现了两个之前未知的后门(我们将其命名为 LunarWeb 和 LunarMail),它们危害了欧洲外交部 (MFA) 及其驻外外交使团。我们认为 Lunar 工具集至少从 2020 年开始使用,鉴于这些工具的策略、技术和程序 (TTP) 与过去活动的相似性,我们中等程度地将这些危害归因于臭名昭著的与俄罗斯结盟的网络间谍组织 Turla。我们最近在今年的 ESET World 大会上介绍了我们从这项研究中获得的见解,并在这篇博文中提供了有关我们发现的更多详细信息。
博文要点:ESET Research 发现了两个之前未知的后门程序 - LunarWeb 和 LunarMail - 用于攻击欧洲外交部及其外交使团。部署在服务器上的 LunarWeb 使用 HTTP(S) 进行 C&C 通信并模仿合法请求,而部署在工作站上的 LunarMail 则作为 Outlook 插件持久化并使用电子邮件进行 C&C 通信。这两个后门都采用了隐写术,将命令隐藏在图像中以避免被发现。这两个后门都使用加载程序,该加载程序使用 DNS 域名解密有效负载,共享部分代码库,并具有能够执行 Lua 脚本的不寻常能力。加载程序可以有多种形式,包括木马化的开源软件,展示了攻击者使用的先进技术。
博文要点:
博文要点: