LunarWeb and LunarMail backdoors discovered that use steganography to avoid detection
ESET, a global European leader in the cybersecurity market, discovered two previously unknown backdoors, named LunarWeb and LunarMail, which compromised a European Ministry of Foreign Affairs and its diplomatic missions abroad, mainly in the Middle East. ESET estimates that the Lunar toolset has been in use since 2020 and, given the similarities in tactics, techniques, procedures and past activities, believes that these compromises can most likely be attributed to Turla, a Russian-aligned cyberespionage group. The goal of the campaign is cyber espionage.
L’indagine di ESET è partita dal rilevamento di un loader distribuito su un server non identificato, che decifra e carica un payload da un file. Questo ha portato i ricercatori di ESET alla scoperta di una backdoor precedentemente sconosciuta, che ESET ha chiamato LunarWeb. Successivamente, è stata rilevata una sequenza simile con LunarWeb distribuita nell’ambito di una missione diplomatica. In particolare, l’attaccante ha incluso anche una seconda backdoor, che ESET ha denominato LunarMail, che utilizza un metodo diverso per le comunicazioni di command & control (C&C). Durante un altro attacco, ESET ha osservato la distribuzione simultanea di una catena con LunarWeb in tre missioni diplomatiche di un Paese europeo in Medio Oriente, avvenuta a pochi minuti di distanza l’una dall’altra. L’attaccante ha probabilmente avuto accesso in precedenza al controller di dominio del ministero degli Affari Esteri e lo ha utilizzato per il movimento laterale verso i computer delle istituzioni correlate nella stessa rete.
LunarWeb, distribuito sui server, utilizza HTTP(S) per le comunicazioni C&C e imita le richieste legittime, mentre LunarMail, distribuito sulle workstation, persiste come add-in di Outlook e utilizza i messaggi e-mail per le comunicazioni C&C. Entrambe le backdoor utilizzano la steganografia, una tecnica in cui i comandi vengono nascosti nelle immagini per evitare il rilevamento. I loro loader possono esistere in varie forme, compreso il software open-source affetto da trojan, a dimostrazione delle tecniche avanzate utilizzate dagli aggressori.
“We observed varying degrees of sophistication in the compromises: for example, the careful installation on the hacked server to avoid scanning by security software contrasted with the errors and different coding styles of the backdoors. This suggests that probably more people were involved in the development and operation of these tools,” explains Filip Jurčacko, ESET researcher who discovered the Lunar toolset.
The recovered components related to the installation and the attacker's activity suggest that the possible initial compromise occurred through spearphishing and the exploitation of a misconfiguration of the Zabbix network and application monitoring software. Furthermore, the attacker already had access to the network, used stolen credentials to move around the network, and took careful measures to compromise the server without raising suspicion. In another compromise, researchers found an old malicious Word document, possibly from a spearphishing email.
LunarWeb raccoglie ed esfiltra informazioni dal sistema, come informazioni sul computer e sul sistema operativo, elenchi di processi in esecuzione, di servizi e di prodotti di sicurezza installati. Inoltre, supporta le comuni funzionalità di backdoor, tra cui le operazioni su file e processi e l’esecuzione di comandi shell. Alla prima esecuzione, la backdoor LunarMail raccoglie informazioni dai messaggi e-mail inviati dai destinatari (indirizzi e-mail). In termini di capacità di comando, LunarMail è più semplice e presenta un sottoinsieme dei comandi presenti in LunarWeb. È in grado di scrivere un file, creare un nuovo processo, fare uno screenshot e modificare l’indirizzo e-mail di comunicazione C&C. Entrambe le backdoor hanno l’insolita capacità di eseguire script Lua.
Turla, also known as Snake, has been active since at least 2004, perhaps even since the late 1990s. Believed to be part of the Russian FSB, it mainly targets high-profile entities such as governments and diplomatic organizations in Europe, Central Asia and the Middle East. The group is known for hacking major organizations, including the US Department of Defense in 2008 and the Swiss defense company RUAG in 2014.
Further technical information on the Lunar toolset, in the blog post “To the Moon and back(doors): Lunar landing in diplomatic missions”.
