Sicherheitsforscher des Unternehmens ESET haben zwei bislang unbekannte Backdoors analysiert, die wahrscheinlich einer aktuellen Kampagne des staatlich gesteuerten, russischen Cyberakteurs TURLA zugeordnet werden können.
Das durch die Angreifer benutzte Toolset besteht aus einem Loader (LunarLoader), der je nach Angriffsweg zwei verschiedene Backdoors (LunaWeb und LunaMail) nachlädt, die als verschlüsselter Payload vorliegen. Im ersten Szenario wird LunarLoader über eine maliziöse ASP.NET Webseite verbreitet. Daraufhin wird die LunarWeb Backdoor nachgeladen, die über HTTP(S) mit dem jeweiligen C2-Server kommuniziert. Diese Backdoor wurde bislang nur auf Servern und nicht auf Workstations von normalen Benutzern gefunden. Beim zweiten Szenario wird der Loader über Macros eines maliziösen Word-Dokuments ausgebracht. Daraufhin lädt dieser die LunaMail Backdoor nach, die via E-Mail mit dem C2-Server kommuniziert. Diese zweite Backdoor ist für den Einsatz auf Benutzer-Workstations konzipiert und läuft als Outlook Add-In. Für die Exfiltration von Daten werden hierbei PNG-Bilder oder PDF-Dokumente genutzt.
Das beschriebene Toolset ist wahrscheinlich bereits seit 2020 im Einsatz und wurde zumindest bei einem Angriff auf ein Außenministerium im europäischen Raum benutzt. Die Cyberabwehr geht jedoch aufgrund vergangener Aktivitäten davon aus, dass die Angriffe nicht auf den politischen Sektor begrenzt sind.
Der Analysebericht von ESET
enthält detaillierte Beschreibungen des Toolsets sowie eindeutige IOCs zur Überprüfung auf eine mögliche
Kompromittierung.