Компания ESET — лидер в области информационной безопасности — обнаружила два ранее неизвестных вредоносных инструмента, которые атаковали европейское министерство иностранных дел и его дипломатические представительства за рубежом с целью кибершпионажа.
Учитывая схожесть между тактиками, техниками и процедурами, исследователи ESET приписывают эту активность российской группе кибершпионов Turla, которая преимущественно нацелена на государственные и дипломатические организации в Европе, Центральной Азии и на Ближнем Востоке.
Бекдоры с названиями LunarWeb и LunarMail злоумышленники развернули в дипломатическом представительстве. Во время другой атаки LunarWeb разворачивался сразу в трех дипломатических представительствах европейской страны на Ближнем Востоке с интервалом в несколько минут. Вероятно, злоумышленники имели предварительный доступ к контролеру домена министерства иностранных дел и использовали его для дальнейшего распространения на устройствах связанных учреждений в той же сети.
Угроза LunarWeb собирает и перехватывает информацию из системы, такую как данные о компьютере и операционной системе, список запущенных процессов, служб и установленных продуктов по безопасности. Кроме этого, инструмент может совершать операции с файлами и процессами, а также запускать команды. При первом запуске бэкдор LunarMail собирает электронные адреса из отправленных электронных сообщений получателей. Также LunarMail может создать новый процесс и делать снимки экрана.
«Мы зафиксировали разную степень сложности во время заражения, например, установку на скомпрометированном сервере, чтобы избежать обнаружения программами по безопасности, контрастировало с ошибками кодирования и разными стилями кодирования бэкдоров. Это свидетельствует о том, что в разработке и использовании этих инструментов, вероятно, участвовало несколько человек», — комментирует Филипп Юрчако, исследователь ESET.
LunarWeb, развернутый на серверах, использует HTTP(S) для связи с командным сервером и имитирует легитимные запросы. В то время как LunarMail, развернутый на рабочих станциях, использует сообщения электронной почты для соединения. Оба бэкдора используют технику, за которой команды скрыты в изображениях, чтобы избежать обнаружения.
Восстановленные компоненты, связанные с установкой, и активность злоумышленников свидетельствуют о том, что первоначальное заражение произошло из-за фишинга и несанкционированного использования неправильно настроенного программного обеспечения для мониторинга сети и приложений Zabbix. Кроме того, злоумышленники уже имели доступ к сети, используя украденные учетные данные для дальнейшего распространения в сети, и приняли меры для компрометации сервера, не вызывая подозрений. Во время другой атаки исследователи ESET обнаружили более старый вредоносный документ Word, вероятно, из фишингового письма.
Стоит отметить, что группа Turla, также известная как Snake, активна по крайней мере с 2004 года. Turla, считающаяся частью ФСБ россии, известна своими атаками на Министерство обороны США в 2008 году и швейцарскую оборонную компанию RUAG в 2014 году.
Для избегания подобных атак и своевременного выявления любой вредоносной активности, следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR).
Подробнее исследование угроз читайте по ссылке.