Специалисты по информационной безопасности рассказали об обнаружении двух ранее неизвестных бэкдоров, которые получили название LunarWeb и LunarMail. Это вредоносное ПО, как заявили аналитики профильной компании по информационной безопасности ESET, использовалось якобы «русскими хакерами» для компрометации дипломатических учреждений европейских правительств за рубежом, сообщает издание Bleeping Computer.
По словам экспертов, обнаруженное вредоносное ПО якобы применялось для взлома Министерства иностранных дел европейской страны с дипломатическими миссиями на Ближнем Востоке. Он используется как минимум с 2020 года.
Исследователи из компании ESET полагают, что бэкдоры могут быть связаны пророссийской хакерской группой Turla, хотя никаких доказательств этого в своём отчёте эксперты словацкой фирмы не приводят.
В отчёте ESET сообщается, что атака начинается с целевого фишинга электронных писем, содержащих файлы Word с вредоносным макрокодом для установки бэкдора LunarMail в целевую систему. Макрос VBA также обеспечивает постоянство на заражённом хосте, создавая надстройку Outlook, гарантируя её активацию при каждом запуске почтового клиента.
Аналитики ESET также увидели доказательства, указывающие на потенциальное злоупотребление неправильно настроенным инструментом мониторинга сети с открытым исходным кодом Zabbix для удаления полезной нагрузки LunarWeb. В частности, на сервере развёртывается компонент, имитирующий журнал агента Zabbix, и при доступе с определённым паролем через HTTP-запрос он расшифровывает и запускает компоненты загрузчика и бэкдора.
LunarWeb сохраняется на взломанном устройстве, используя несколько методов, включая создание расширений групповой политики, замену системных библиотек DLL и развёртывание как часть законного программного обеспечения. Обе полезные нагрузки расшифровываются загрузчиком вредоносного ПО, который исследователи назвали «LunarLoader», из зашифрованного объекта с использованием шифров RC4 и AES-256. Загрузчик использует доменное имя DNS для расшифровки и гарантирует, что оно работает только в целевой среде.
Как только на хосте запускаются бэкдоры Lunar, злоумышленники могут отправлять команды непосредственно через сервер управления и контроля (C2) и использовать украденные учётные данные и скомпрометированные контроллеры домена для горизонтального перемещения по сети.
Оригинал публикации на сайте CISOCLUB: "«Русских хакеров» обвинили в использовании нового вредоносного Lunar для взлома служб европейских правительств".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.