I ricercatori di ESET hanno scoperto due nuove backdoor usate per colpire il Ministero degli Esteri di un paese europeo con missioni diplomatiche in Medio Oriente. Gli obiettivi dell’attacco, probabilmente effettuato dal gruppo russo Turla, sono il furto di dati sensibili e il controllo remoto dei computer a scopo di spionaggio.
LunarWeb e LunarMail
Le due backdoor sono LunarWeb e LunarMail, rispettivamente utilizzate per infettare server e workstation. Non è noto come è stato effettuato l’accesso iniziale, ma probabilmente i cybercriminali hanno sfruttato errate configurazioni di rete o applicazioni nel primo caso e un attacco di spear phishing nel secondo caso.
Per quanto riguarda LunarWeb, gli esperti di ESET hanno individuato una pagina ASP.NET che, quando richiesta al server, scarica il LunarLoader. Quest’ultimo carica quindi la backdoor e crea un criterio di gruppo per la persistenza. L’infezione con LunarMail inizia con l’apertura di un documento Word. Viene così eseguita una macro VBA che installa la backdoor e crea la persistenza tramite un add-in di Outlook.
Entrambe le backdoor comunicano il server C&C (command and control), dal quale ricevono i comandi da eseguire. Nel caso di LunarWeb sono nascosti in immagini JPG e PNG con la steganografia, mentre nel caso di LunarMail sono nascosti in immagini PNG allegate alle email. I due malware permettono di raccogliere informazioni su server e workstation, esfiltrare i dati e mantenere l’accesso remoto a scopo di spionaggio.
Ti potrebbe interessare
19 mag 2024