Novo Malware Lunar usado para violar Agências do Governo Europeu

setembro 10, 2024

Especialistas em segurança identificaram dois novos backdoors, batizados de LunarWeb e LunarMail, que foram empregados para comprometer as instituições diplomáticas de um governo europeu em território estrangeiro.

A empresa de segurança cibernética ESET sugere uma possível ligação desses backdoors ao grupo de hackers Turla, que é associado ao Estado russo, embora a atribuição ainda não seja definitiva neste momento.

Cadeia de Ataque do Lunar

O ataque começa com e-mails de spear-phishing que carregam arquivos do Word com código de macro malicioso para instalar o backdoor LunarMail no sistema alvo.

A macro VBA também estabelece persistência no host infectado criando um suplemento do Outlook, garantindo que ele seja ativado sempre que o cliente de e-mail for iniciado.

Suplemento Malicioso do Outlook Fonte: ESET

Os especialistas da ESET identificaram indícios de um possível uso indevido de uma ferramenta de monitoramento de rede mal configurada, o Zabbix, para distribuir a payload do LunarWeb.

De forma específica, um componente que simula um registro do agente Zabbix é implantado em um servidor. Quando este componente é acessado utilizando uma senha específica por meio de uma solicitação HTTP, ele descriptografa e executa os componentes do loader e do backdoor.

O LunarWeb persiste nos dispositivos comprometidos por meio de diversas técnicas, que incluem a criação de extensões de Política de Grupo, a substituição de DLLs do sistema e a camuflagem como parte de software legítimo.

Ambas as cargas são descriptografadas por um carregador de malware denominado “LunarLoader”, que extrai informações de um blob criptografado usando as cifras RC4 e AES-256. O carregador utiliza o nome de domínio DNS para realizar a descriptografia, garantindo sua execução apenas no ambiente alvo.

Uma vez que os backdoors Lunar estejam ativos no Host, os invasores têm a capacidade de enviar comandos diretamente por meio de um servidor C2. Além disso, podem fazer uso de credenciais obtidas de forma ilícita e de controladores de domínio comprometidos para realizar movimentações laterais na rede.

As duas cadeias de execução vista na campanha Fonte: ESET

LunarWeb e LunarMail

Os backdoors LunarWeb e LunarMail foram desenvolvidos para vigilância prolongada e secreta, roubo de dados e manutenção do controle sobre sistemas comprometidos.

Eles são direcionados a alvos de alto valor, como instituições governamentais e diplomáticas.

O LunarWeb é implantado em servidores e disfarça seu tráfego como legítimo, falsificando cabeçalhos HTTP de atualizações do Windows e produtos da ESET.

Recebe comandos para execução que ficam ocultos em arquivos de imagem .JPG e

.GIF utilizando a técnica de esteganografia. Os comandos que o LunarWeb suporta incluem a execução de comandos shell e PowerShell, coleta de informações do sistema, execução de código Lua, compactação de arquivos e exfiltração de dados em formato criptografado AES-256.

O LunarMail é implantado em estações de trabalho com Microsoft Outlook instalado.

Ele usa um sistema de comunicação baseado em e-mail (Outlook MAPI) para trocar dados com perfis específicos do Outlook conectados ao servidor de comando e controle (C2), evitando assim a detecção em ambientes onde o tráfego HTTPS é monitorado de perto.

Os comandos do C2 são inseridos em anexos de e-mail, ocultos em imagens .PNG, que o backdoor analisa para extrair as instruções.

O LunarMail pode criar processos, capturar telas, gravar arquivos e executar código Lua, permitindo assim a execução indireta de comandos shell e PowerShell, se necessário.

Diagrama operacional do Lunar Mail Fonte: ESET

Apesar das invasões serem mais recentes, a ESET encontrou indícios que os backdoors foram usados em operações e escaparam da detecção desde pelo menos 2020.

Com base na semelhança tática, técnicas e procedimentos, a ESET associa os ataques recentes que comprometeram três instituições governamentais ao grupo Turla. No entanto os investigadores notaram “vários graus de sofisticação”, que sugerem o desenvolvimento da ferramenta foi realizado por diversos indivíduos.

Como se proteger?

Para se proteger contra esse tipo de ataque, é essencial implementar um conjunto abrangente de medidas de cibersegurança. Este procedimento abrange desde a identificação de vulnerabilidades até a resposta a incidents.

A implementação de um SOC eficiente é necessária para monitorar constantemente a rede e os sistemas. O SOC realiza uma análise de logs, tráfegos, e configura alertas para detecção de atividades suspeitas, mitigando os ataques antes que causem algum dano.

A realização regular de pentests, para identificar e corrigir vulnerabilidades antes que atacantes mal intencionados possam explorá-las. Exercícios de Red Team, como a simulação de ataques que mimetizam técnicas de Spear-Phishing pode ser usada para identificar vulnerabilidades entre os colaboradores e então realizar o treinamento e a conscientização entre os colaboradores, para que não caiam nesse tipo de ataque.

A cada dia se torna mais evidente a necessidade da cibersegurança, a parceria com consultorias especializadas em segurança diminui drasticamente os riscos de ataques bem sucedidos, cujo o impacto pode causar danos irreversíveis.

Quer saber mais como proteger seu ambiente? Leia nosso blog!

Team SecOffice

Especialistas em cibersegurança, o Time de Segurança SecOffice é dedicado a proteger dados e aplicações na nuvem. Neste post, compartilhamos insights e melhores práticas para garantir a segurança do seu site na nuvem.

Compartilhe nas mídias:

Categorias

Se inscreva e fique por dentro de tudo que acontece no mundo da Cibersugerança moderna e na nuvem.

Sua proteção é nossa prioridade

Assegure seu ambiente digital com nossas soluções inovadoras.

Fale Conosco

As mais lidas:

FRAMEWORKS DE GOVERNANÇA DE TI: ESCOLHA A MELHOR ESTRATÉGIA PARA SUA EMPRESA

25/06/2025

Parceria SecOffice e CrowdStrike: Aumente a Proteção Cibernética da Sua Empresa com Soluções Inovadoras!

24/10/2024