Prim Hírek

A támadók a NASA (National Aeronautics and Space Administration) nevében küldték az emailt, és egy ismert asztronauta aláírásával próbáltak hitelesebb benyomást kelteni.  A levél titkos dokumentumokat ígért [DocumentationReport(7-31-14).zip], de ehelyett a Backdoor.Darkmoon (más néven Poison Ivy) kártevőt tartalmazta.

 

A Darkmoon egy népszerű trójai (RAT) kártevő, amelyet gyakran használnak célzott támadások során, korábban például a G20 találkozóhoz és a Szocsi téli olimpiai játékokhoz köthető támadásokban fordult elő. A Darkmoon vírust több csoport is használta, azonban mindegyik saját céljainak megfelelő módosításokat hajtott végre a programban.

A Symantec a Backdoor.Darkmoon.G variánst használó csoportot figyelte meg, amely legalább 2012 közepe óta volt aktív. A csoport elsődleges fertőzési módszere az adathalász e-mailek használata volt, amely gyakran az ismert hibák kihasználásával is párosult. Ebben az esetben egy önkicsomagoló RAR-fájlt is használtak a rosszindulatú programok elindításához. A támadásban használt minta a Backdoor.Korplughoz hasonlóan megbízható alkalmazásokon keresztül töltötte fel a kártevőket az áldozatok számítógépére. Ezt a technológiát használták a támadók a Backdoor.Klabcon esetében is, amelyet többek között a thaiföldi államcsínyhez kapcsolódó átveréseknél tűnt fel.

A Symantec telemetrikus adatai szerint vállalatokat is támadtak a Darkmoon kártevővel. A NASA nevének említése és az idegenek létére utaló bizonyítékok azt sugallták az embereknek, hogy a támadók a repülőgépiparhoz köthető titkos dokumentumokat szereztek meg. A támadott vállalatok nem feltétlenül állnak kapcsolatban a NASA-val vagy a repülőgépiparral. A kiberbűnözők az alábbi szektorokat támadták ezzel a vírussal: