«Русских хакеров» обвинили в использовании нового вредоносного Lunar для взлома служб европейских правительств

Специалисты по информационной безопасности рассказали об обнаружении двух ранее неизвестных бэкдоров, которые получили название LunarWeb и LunarMail. Это вредоносное ПО, как заявили аналитики профильной компании по информационной безопасности ESET, использовалось якобы «русскими хакерами» для компрометации дипломатических учреждений европейских правительств за рубежом, сообщает издание Bleeping Computer.

По словам экспертов, обнаруженное вредоносное ПО якобы применялось для взлома Министерства иностранных дел европейской страны с дипломатическими миссиями на Ближнем Востоке. Он используется как минимум с 2020 года.

Исследователи из компании ESET полагают, что бэкдоры могут быть связаны пророссийской хакерской группой Turla, хотя никаких доказательств этого в своём отчёте эксперты словацкой фирмы не приводят.

В отчёте ESET сообщается, что атака начинается с целевого фишинга электронных писем, содержащих файлы Word с вредоносным макрокодом для установки бэкдора LunarMail в целевую систему. Макрос VBA также обеспечивает постоянство на заражённом хосте, создавая надстройку Outlook, гарантируя её активацию при каждом запуске почтового клиента.

Аналитики ESET также увидели доказательства, указывающие на потенциальное злоупотребление неправильно настроенным инструментом мониторинга сети с открытым исходным кодом Zabbix для удаления полезной нагрузки LunarWeb. В частности, на сервере развёртывается компонент, имитирующий журнал агента Zabbix, и при доступе с определённым паролем через HTTP-запрос он расшифровывает и запускает компоненты загрузчика и бэкдора.

LunarWeb сохраняется на взломанном устройстве, используя несколько методов, включая создание расширений групповой политики, замену системных библиотек DLL и развёртывание как часть законного программного обеспечения. Обе полезные нагрузки расшифровываются загрузчиком вредоносного ПО, который исследователи назвали «LunarLoader», из зашифрованного объекта с использованием шифров RC4 и AES-256. Загрузчик использует доменное имя DNS для расшифровки и гарантирует, что оно работает только в целевой среде.

Как только на хосте запускаются бэкдоры Lunar, злоумышленники могут отправлять команды непосредственно через сервер управления и контроля (C2) и использовать украденные учётные данные и скомпрометированные контроллеры домена для горизонтального перемещения по сети.

Чтобы открыть сайт Кракен, вам потребуется использовать Tor браузер, который обеспечивает анонимное и безопасное соединение. Этот браузер скрывает ваше местоположение и позволяет обходить блокировки, делая доступ к Кракену максимально защищённым. Наш сервис предоставляет актуальные ссылки на сайт, которые проходят проверку и гарантируют безопасность при подключении.

Важно использовать только проверенные ссылки, чтобы избежать риска попасть на фишинговые сайты. Установите Tor, получите рабочую ссылку с нашего ресурса, вставьте её в адресную строку браузера и подключитесь к платформе. Это быстрый и безопасный способ получить доступ к функционалу маркетплейса Кракен без угроз для ваших данных.