与俄罗斯有关的 Turla APT 使用两个新后门（LunarWeb and LunarMail）来针对欧洲政府机构

ESET 研究人员发现了两个以前未知的后门，分别名为 LunarWeb 和 LunarMail，它们被用来破坏欧洲外交部。

这两个后门旨在对目标网络进行长期危害、数据泄露以及保持对受感染系统的控制。

这两个后门损害了欧洲外交部 (MFA) 及其驻外使团。专家推测 Lunar 工具集至少从 2020 年起就已经被使用。ESET 将这两个后门归咎于与俄罗斯有联系的 APT 组织Turla，可信度中等。

TurlaAPT 组织（又名 Snake、 Uroburos、 Waterbug、 VenomousBear 和 KRYPTON） 至少自 2004 年以来一直活跃 ，目标是中东、亚洲、欧洲、北美和南美以及前苏联集团的外交和政府组织以及私营企业国家。

ESET 观察到的攻击中初始访问的确切方法仍不清楚，有证据表明可能存在鱼叉式网络钓鱼以及对配置错误的Zabbix网络和应用程序监控软件的利用。

研究人员注意到 LunarWeb 组件模仿 Zabbix 日志和检索 Zabbix 代理配置的后门命令。专家们还发现了鱼叉式网络钓鱼消息，包括安装 LunarMail 后门的武器化 Word 文档。

部署在服务器上的 LunarWeb 使用 HTTP(S) 进行 C&C 通信并模仿合法请求，而部署在工作站上的 LunarMail 则作为 Outlook 加载项持续存在，并使用电子邮件进行 C&C 通信。

LunarWeb 使用多种持久性方法，包括创建组策略扩展、替换系统 DLL 以及作为合法软件的一部分进行部署。

ESET 报告称，执行链从他们跟踪的 LunarLoader 加载程序开始。它使用 RC4 对称密钥密码来解密有效负载。

一旦 Lunar 后门侵入系统，它就会等待来自 C2 服务器的命令。网络间谍还使用窃取的凭据进行横向移动。

LunarWeb 还可以执行 shell 和 PowerShell 命令、收集系统信息、运行 Lua 代码以及以 AES-256 加密形式窃取数据。

调查始于检测到一个加载程序在身份不明的服务器上解密并运行来自外部文件的有效负载。这导致发现一个以前未知的后门，研究人员将其命名为 LunarWeb。随后，在欧洲外交部的外交机构发现了一条与 LunarWeb 类似的链。

值得注意的是，攻击者还包含了第二个后门——研究人员将其命名为 LunarMail——它使用不同的方法进行命令和控制 (C&C) 通信。

在另一次攻击中，观察到在该外交部在中东的三个外交机构同时部署了一条与 LunarWeb 相关的链，彼此发生的时间间隔只有几分钟。攻击者可能事先访问了 MFA 的域控制器，并利用它横向移动到同一网络中相关机构的计算机。

LunarMail 部署在装有 Microsoft Outlook 的工作站上，使用基于电子邮件的通信系统 ( Outlook Messaging API (MAPI) ) 在监视 HTTPS 流量的环境中逃避检测。

后门通过电子邮件附件与 C2 服务器进行通信，这些附件通常隐藏在 .PNG 图像中。LunarMail可以创建进程、截屏、写入文件和执行Lua脚本，从而允许它间接运行shell和PowerShell命令。

ESET的报告观察到入侵活动的复杂程度不同：例如，在受感染的服务器上小心安装以避免安全软件扫描，这与后门中的编码错误和不同编码风格（这不是本博文的范围）形成鲜明对比。这表明多个人可能参与了这些工具的开发和操作。

虽然所描述的入侵活动是最近发生的，但研究结果表明，根据 Lunar 工具集中发现的证据，这些后门在更长的时间内逃避检测，并且至少自 2020 年以来一直在使用。

详细技术报告：https://www.welivesecurity.com/en/eset-research/moon-backdoors-lunar-landing-diplomatic-missions/

参考链接：https://securityaffairs.com/163314/apt/turla-apt-new-backdoors.html