Két, eddig nem ismert hátsó ajtót (backdoor) fedeztek fel az ESET kutatói: a LunarWeb és a LunarMail kártevőket egy európai kormány diplomáciai intézményeinek kompromittálására használták.

Konkrétan egy nem nevesített, közel-keleti diplomáciai képviselettel rendelkező európai ország külügyminisztériumába hatoltak be velük. Az ESET jelentése szerint legalább 2020 óta aktívak a kártevők.

Jelenleg úgy vélik, a Turla nevű, államilag támogatott orosz hackercsoporthoz kapcsolhatók a kártevők, de ennek bizonyossága jelenleg közepes.

Így települnek a kártevők

Az ESET nyomán a Bleeping Computer azt írja, a támadás veszélyes e-mailekkel indul, melyek csatolmánya egy rosszindulatú makró-kódokat tartalmazó Word-dokumentum. Ezek telepítik a LunarMail kártevőt a célpont rendszerére.

Ráadásul az állandó jelenlét kialakítására is gondol a kártékony program, mert létrehoz egy Outlook bővítményt, ami a levelező minden indításakor aktiválja őt.

A LunarWeb egy félrekonfigurált hálózatmonitorozó eszköz, a Zabbix révén kerül a célgépekre. Mindkét, a gépre került kártevő titkosítását egy LunarLoader nevű eszköz végzi el.

Miután működni kezdenek, a támadók távolról tudnak parancsokat küldeni a megfertőzött gépre, és ahhoz a hálózathoz is hozzáférhetnek, melyhez a fertőzött gép tartozik.

A kutatók szerint a kártevőket hosszú ideig fennálló, titkos megfigyelésre és adatok ellopására hegyezték ki. Így lehet ideális eszköze a kormányzati vagy diplomáciai intézmények feletti ellenőrzésnek.

Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.