Két, eddig nem ismert hátsó ajtót (backdoor) fedeztek fel az ESET kutatói: a LunarWeb és a LunarMail kártevőket egy európai kormány diplomáciai intézményeinek kompromittálására használták.
Konkrétan egy nem nevesített, közel-keleti diplomáciai képviselettel rendelkező európai ország külügyminisztériumába hatoltak be velük. Az ESET jelentése szerint legalább 2020 óta aktívak a kártevők.
Jelenleg úgy vélik, a Turla nevű, államilag támogatott orosz hackercsoporthoz kapcsolhatók a kártevők, de ennek bizonyossága jelenleg közepes.
Így települnek a kártevők
Az ESET nyomán a Bleeping Computer azt írja, a támadás veszélyes e-mailekkel indul, melyek csatolmánya egy rosszindulatú makró-kódokat tartalmazó Word-dokumentum. Ezek telepítik a LunarMail kártevőt a célpont rendszerére.
Ráadásul az állandó jelenlét kialakítására is gondol a kártékony program, mert létrehoz egy Outlook bővítményt, ami a levelező minden indításakor aktiválja őt.
A LunarWeb egy félrekonfigurált hálózatmonitorozó eszköz, a Zabbix révén kerül a célgépekre. Mindkét, a gépre került kártevő titkosítását egy LunarLoader nevű eszköz végzi el.
Miután működni kezdenek, a támadók távolról tudnak parancsokat küldeni a megfertőzött gépre, és ahhoz a hálózathoz is hozzáférhetnek, melyhez a fertőzött gép tartozik.
A kutatók szerint a kártevőket hosszú ideig fennálló, titkos megfigyelésre és adatok ellopására hegyezték ki. Így lehet ideális eszköze a kormányzati vagy diplomáciai intézmények feletti ellenőrzésnek.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
