s1141-lunarweb - RunkIntel

# LunarWeb > Tipo: **malware** · S1141 · [MITRE ATT&CK](https://attack.mitre.org/software/S1141) ## Descrição [[s1141-lunarweb|LunarWeb]] é um backdoor de servidor utilizado pelo [[g0010-turla|Turla]] (FSB russo) desde pelo menos 2020, implantado específicamente em servidores de organizações-alvo - enquanto o [[s1142-lunarmail|LunarMail]] cobre as estações de trabalho. O [[s1141-lunarweb|LunarWeb]] foi documentado em comprometimentos de entidades diplomáticas europeias, operando lado a lado com o [[s1143-lunarloader|LunarLoader]] como parte do ecossistema Lunar. O LunarWeb usa steganography ([[t1001-002-steganography|T1001.002]]) para ocultar comandos e dados em imagens ou outro conteúdo inócuo para comunicação C2, tornando o tráfego malicioso indistinguível de tráfego benigno. O protocolo de C2 usa tunneling ([[t1572-protocol-tunneling|T1572]]) e multi-stage channels ([[t1104-multi-stage-channels|T1104]]) com criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) e simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]). A descoberta do ambiente é abrangente: Group Policy ([[t1615-group-policy-discovery|T1615]]), shares de rede ([[t1135-network-share-discovery|T1135]]), software instalado ([[t1518-software-discovery|T1518]]) e informações do sistema ([[t1082-system-information-discovery|T1082]]). Dados coletados são arquivados antes da exfiltração via múltiplos métodos ([[t1560-001-archive-via-utility|T1560.001]], [[t1560-002-archive-via-library|T1560.002]]). O LunarWeb representa o foco do Turla em comprometer e manter acesso persistente a servidores críticos de organizações governamentais, onde os dados mais sensíveis são processados. A divisão servidor/workstation entre LunarWeb e LunarMail demonstra o planejamento operacional avançado do Turla para cobertura completa da infraestrutura-alvo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1615-group-policy-discovery|T1615 - Group Policy Discovery]] - [[t1001-002-steganography|T1001.002 - Steganography]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1104-multi-stage-channels|T1104 - Multi-Stage Channels]] - [[t1560-002-archive-via-library|T1560.002 - Archive via Library]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1135-network-share-discovery|T1135 - Network Share Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1518-software-discovery|T1518 - Software Discovery]] - [[t1560-001-archive-via-utility|T1560.001 - Archive via Utility]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção - **[[ds-0029-network-traffic|Network Traffic Content]]** - Analisar imagens servidas por servidores web internos em busca de dados binários adicionais além do payload de imagem padrão - técnica de steganography usada pelo LunarWeb. - **[[ds-0022-file|File Creation]]** - Monitorar criação de arquivos compactados em diretórios temporários de servidor web ou IIS por processos do servidor - padrão de archiving pré-exfiltração do LunarWeb. - **[[ds-0026-active-directory|Active Directory Object Access]]** - Detectar consultas de Group Policy incomuns por processos de servidor que não sejam agentes de gerenciamento legítimos - o LunarWeb realiza descoberta de Group Policy como parte do reconhecimento. ```sigma title: LunarWeb Server-Side Anomalous Archive Creation status: experimental logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: - '.zip' - '.7z' Image|contains: - 'w3wp.exe' - 'inetinfo.exe' condition: selection falsepositives: - IIS applications that legitimately create archives level: high tags: - attack.collection - attack.t1560.001 - code/distill ``` ## Relevância LATAM/Brasil O [[g0010-turla|Turla]], operador do LunarWeb, é um adversário de nível estado-nação com capacidade técnica excepcional. Servidores de aplicação e web de organizações governamentais e diplomáticas brasileiras são o tipo de alvo que o LunarWeb é projetado para comprometer, representando risco significativo para a infraestrutura de TI de entidades do governo federal brasileiro. ## Referências - [MITRE ATT&CK - S1141](https://attack.mitre.org/software/S1141) - [ESET - Turla Lunar Toolset Analysis](https://www.welivesecurity.com/en/eset-research/to-the-moon-and-back-again-turlas-lunar-landing/)