# LunarMail
> Tipo: **malware** · S1142 · [MITRE ATT&CK](https://attack.mitre.org/software/S1142)
## Descrição
[[s1142-lunarmail|LunarMail]] é um backdoor utilizado pelo [[g0010-turla|Turla]] (FSB russo) desde pelo menos 2020, projetado específicamente para implantação em estações de trabalho como complemento ao [[s1141-lunarweb|LunarWeb]] (que opera em servidores). Em conjunto com o [[s1143-lunarloader|LunarLoader]], forma o ecossistema "Lunar" de ferramentas documentado pelo ESET em comprometimentos de entidades diplomáticas europeias.
O LunarMail usa e-mail como canal de C2 via [[t1071-003-mail-protocols|Mail Protocols]], manipulando pastas de caixas de correio Outlook para receber comandos e exfiltrar dados - técnica que evade firewalls focados em bloquear HTTP/HTTPS de saída pois o tráfego de e-mail é legítimo. O malware aplica steganography ([[t1001-002-steganography|T1001.002]]) para esconder dados em imagens anexadas ou incorporadas em e-mails, tornando o tráfego de C2 indistinguível de correspondência normal. A coleta de e-mails locais ([[t1114-001-local-email-collection|T1114.001]]) permite acesso ao conteúdo da caixa de correio da vítima, e dados da caixa de correio são limpos após exfiltração ([[t1070-008-clear-mailbox-data|T1070.008]]). Capturas de tela ([[t1113-screen-capture|T1113]]) e descoberta de arquivos ([[t1083-file-and-directory-discovery|T1083]]) complementam as capacidades de espionagem.
A inovação do LunarMail está no uso de Outlook como canal C2, abusando de uma funcionalidade legítima e amplamente usada em ambientes corporativos. Esta técnica é virtualmente invisível para soluções de segurança que não inspecionam o conteúdo de e-mails internos enviados e recebidos.
**Plataformas:** Windows
## Técnicas Utilizadas
- [[t1114-001-local-email-collection|T1114.001 - Local Email Collection]]
- [[t1070-008-clear-mailbox-data|T1070.008 - Clear Mailbox Data]]
- [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]]
- [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]]
- [[t1204-002-malicious-file|T1204.002 - Malicious File]]
- [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]]
- [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]]
- [[t1059-005-visual-basic|T1059.005 - Visual Basic]]
- [[t1070-004-file-deletion|T1070.004 - File Deletion]]
- [[t1082-system-information-discovery|T1082 - System Information Discovery]]
- [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]]
- [[t1001-002-steganography|T1001.002 - Steganography]]
- [[t1113-screen-capture|T1113 - Screen Capture]]
- [[t1543-create-or-modify-system-process|T1543 - Creaté or Modify System Process]]
- [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]]
## Grupos que Usam
- [[g0010-turla|Turla]]
## Detecção
- **[[ds-0015-application-log|Application Log Content]]** - Monitorar Outlook para criação e modificação de pastas incomuns pelo próprio processo Outlook - o LunarMail usa pastas de e-mail como canal de C2, tornando a auditoria de modificações de caixas de correio essencial.
- **[[ds-0029-network-traffic|Network Traffic Content]]** - Analisar anexos de e-mail com imagens de tamanho incomum ou com payloads binários embutidos - técnica de steganography usada para C2 via e-mail.
- **[[ds-0009-process|Process Creation]]** - Detectar criação de processos a partir de add-ins VBA do Outlook que modificam estrutura da caixa de correio ou acessam o sistema de arquivos de forma incomum.
```sigma
title: LunarMail Mailbox C2 Activity
status: experimental
logsource:
category: application
product: microsoft-outlook
detection:
selection:
EventID: 4656
ObjectName|contains:
- '\OUTLOOK.EXE'
AccessMask: '0x40'
filter:
SubjectUserName|endswith: '