LunarWeb és LunarMail
Az ESET kutatói két eddig ismeretlen backdoort fedeztek fel – amelyeket LunarWeb és LunarMail névre kereszteltek -, amelyek egy európai külügyminisztériumot és annak külföldi diplomáciai képviseleteit veszélyeztették. A kutatók úgy vélik, hogy a Lunar eszközkészletet legalább 2020 óta használják, és az eszközök taktikái, technikái és eljárásai (TTP) és korábbi tevékenységei közötti hasonlóságok miatt ezeket a kompromittálásokat közepes biztonsággal a hírhedt, Oroszországhoz kötődő Turla csoportnak tulajdonítják.
A backdoor-ok közös betöltőprogrammal rendelkeznek, a kódok átfedéseket mutatnak, és hasonló parancsokat támogatnak, de különböző C&C kommunikációs módszereket alkalmaznak. Az első backdoor – LunarWeb – HTTP(S)-t használ, és megpróbál elvegyülni a törvényes szolgáltatások, például a Windows Update forgalmának utánzásával. A második backdoor – LunarMail – az Outlookot használja, és e-mail üzeneteken keresztül kommunikál, PNG-képeket vagy PDF-dokumentumokat használ az adatok kiszivárgásához.
A kihasználások különböző fokú kifinomultságát figyelték meg az ESET kutatói; például a biztonsági szoftverek szkennelésének elkerülése érdekében végzett gondos telepítés a kompromittált szerveren ellentétben állt a backdoor-ok kódolási hibáival és eltérő kódolási stílusaival. Ez arra utal, hogy valószínűleg több személy vett részt ezen eszközök fejlesztésében és működtetésében.
Az ESET kutatásának eredményei azt mutatják, hogy ezek a back door-ok hosszabb ideig kerülték el a felderítést, és a Lunar eszközkészletben talált leletek alapján legalább 2020 óta használatban vannak.
Az ESET kutatói megosztották az azonosításhoz szükséges mutatókat is.