Компания ESET обнаружила два ранее неизвестных вредоносных инструмента, которые атаковали европейское министерство иностранных дел и его дипломатические представительства за рубежом с целью кибершпионажа.
"Учитывая сходство между тактиками, техниками и процедурами, исследователи ESET приписывают эту активность российской группе кибершпионов Turla, которая в основном нацелена на государственные и дипломатические организации в Европе, Центральной Азии и на Ближнем Востоке", - говорится в сообщении компании.
Отмечается, что бекдоры с названиями LunarWeb и LunarMail злоумышленники развернули в дипломатическом представительстве. Во время другой атаки LunarWeb разворачивался сразу в трех дипломатических представительствах европейской страны на Ближнем Востоке с интервалом в несколько минут.
"Вероятно, злоумышленники имели предварительный доступ к контролеру домена министерства иностранных дел и использовали его для дальнейшего распространения на устройствах связанных учреждений в той же сети", - рассказали в ESET.
По словам специалистов, угроза LunarWeb собирает и перехватывает информацию из системы, такую как данные о компьютере и операционной системе, список запущенных процессов, служб и установленных продуктов по безопасности. Кроме этого, инструмент может совершать операции с файлами и процессами, а также запускать команды. При первом запуске бэкдор LunarMail собирает электронные адреса из отправленных электронных сообщений получателей. Также LunarMail может создать новый процесс и делать снимки экрана.
"Мы зафиксировали разную степень сложности во время заражения, например, установку на скомпрометированном сервере, чтобы избежать обнаружения программами по безопасности, контрастировало с ошибками кодирования и разными стилями кодирования бэкдоров. Это свидетельствует о том, что в разработке и использовании этих инструментов, вероятно, участвовало несколько человек", — комментирует Филипп Юрчако, исследователь ESET.
Эксперты обратили внимание, что LunarWeb, развернутый на серверах, использует HTTP(S) для связи с командным сервером и имитирует легитимные запросы. В то время как LunarMail, развернутый на рабочих станциях, использует сообщения электронной почты для соединения. Оба бэкдора используют технику, за которой команды скрыты в изображениях, чтобы избежать обнаружения.
"Восстановленные компоненты, связанные с установкой, и активность злоумышленников свидетельствуют о том, что первоначальное заражение произошло из-за фишинга и несанкционированного использования неправильно настроенного программного обеспечения для мониторинга сети и приложений Zabbix. Кроме того, злоумышленники уже имели доступ к сети, используя украденные учетные данные для дальнейшего распространения в сети, и приняли меры для компрометации сервера, не вызывая подозрений. Во время другой атаки исследователи ESET обнаружили более старый вредоносный документ Word, вероятно, из фишингового письма", - уточнили в ESET.
Стоит отметить, что группа Turla, также известная как Snake, активна по крайней мере с 2004 года. Turla, считающаяся частью ФСБ россии, известна своими атаками на Министерство обороны США в 2008 году и швейцарскую оборонную компанию RUAG в 2014 году.
Для избегания подобных атак и своевременного выявления любой вредоносной активности, следует обеспечить мощную киберзащиту организаций, например, с помощью комплексного решения ESET PROTECT Elite для предотвращения угроз, их обнаружения и быстрого реагирования (XDR).
Справка
ESET - эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основанная в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
ESET в Украине:
Почти 20 лет продукты ESET официально представлены на территории Украины. Начиная с 2005 года, пользователи имеют возможность бесплатно обратиться за помощью в службу технической поддержки ESET в Украине, а также пройти курсы обучения по использованию продуктов компании ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации.
