s1143-lunarloader - RunkIntel

# LunarLoader > Tipo: **malware** · S1143 · [MITRE ATT&CK](https://attack.mitre.org/software/S1143) ## Descrição [[s1143-lunarloader|LunarLoader]] é o componente loader dos backdoors [[s1141-lunarweb|LunarWeb]] e [[s1142-lunarmail|LunarMail]], parte do ecossistema Lunar de ferramentas utilizadas pelo [[g0010-turla|Turla]] desde pelo menos 2020 em operações de espionagem de alto nível. O grupo Turla, atribuído ao FSB russo, é reconhecido por desenvolver e utilizar ferramentas altamente sofisticadas e persistentes contra alvos diplomáticos, governamentais e de defesa globalmente. O LunarLoader implementa execution guardrails ([[t1480-execution-guardrails|T1480]]) para garantir que o loader sejá executado apenas em ambientes-alvo específicos, evitando análise em ambientes de sandbox e sistemas de pesquisadores. O malware realiza loading reflexivo de código ([[t1620-reflective-code-loading|T1620]]) para carregar os backdoors LunarWeb e LunarMail em memória sem escrita em disco, minimizando artefatos forenses. Informações de configuração de rede ([[t1016-system-network-configuration-discovery|T1016]]) são coletadas para personalizar o comportamento do backdoor ao ambiente. O LunarLoader também foi observado como add-in trojanizado em software legítimo ([[t1137-006-add-ins|T1137.006]]), abusando do mecanismo de extensão do AdmPwd (software de gerenciamento de senhas de administrador local). A atribuição ao [[g0010-turla|Turla]] é sustentada pelo ESET, que documentou o comprometimento de um Ministério das Relações Exteriores europeu usando a cadeia LunarLoader → LunarWeb (servidores) + LunarMail (workstations). A técnica de trojanizar software legítimo de gerenciamento reflete o alto nível de acesso e sofisticação operacional do grupo. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1137-006-add-ins|T1137.006 - Add-ins]] - [[t1620-reflective-code-loading|T1620 - Reflective Code Loading]] ## Grupos que Usam - [[g0010-turla|Turla]] ## Detecção - **[[ds-0027-driver|Driver Load]]** - Monitorar carregamento de add-ins suspeitos em software de gerenciamento de TI - o LunarLoader foi distribuído como add-in trojanizado do AdmPwd (software de LAPS open-source). - **[[ds-0009-process|Process Creation]]** - Detectar loading reflexivo de código por processos de gerenciamento de sistemas - técnica central do LunarLoader para carregar backdoors em memória sem escrita em disco. - **[[ds-0022-file|File Access]]** - Alertar para acesso a arquivos de configuração de rede por processos add-in de software de gerenciamento - comportamento anômalo que pode indicar guardrails de execução sendo verificados. ```sigma title: LunarLoader Reflective Loading via Management Software status: experimental logsource: category: image_load product: windows detection: selection: ImageLoaded|contains: - 'AdmPwd' - 'LAPS' Signed: 'false' condition: selection falsepositives: - Unsigned add-ins in development environments level: high tags: - attack.defense-evasion - attack.t1620 - code/distill ``` ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] (FSB russo), operador do LunarLoader, é um dos grupos de APT mais sofisticados do mundo com histórico de ataques a ministérios de relações exteriores e organizações diplomáticas globalmente. O Brasil, como país com ativa agenda diplomática e membro de organizações internacionais como BRICS e G20, mantém missões diplomáticas em países de interesse do Turla, tornando organizações governamentais brasileiras alvos potenciais de técnicas similares. ## Referências - [MITRE ATT&CK - S1143](https://attack.mitre.org/software/S1143) - [ESET - Turla Lunar Toolset Analysis](https://www.welivesecurity.com/en/eset-research/to-the-moon-and-back-again-turlas-lunar-landing/)