Father
Professional
- Messages
- 2,602
- Reaction score
- 760
- Points
- 113
Охотники за угрозами обнаружили новое вредоносное ПО под названием Latrodectus, которое распространяется в рамках фишинговых кампаний по электронной почте как минимум с конца ноября 2023 года.
"Latrodectus - это перспективный загрузчик с различными функциями обхода песочницы", - сказали исследователи из Proofpoint и Team Cymru в совместном анализе, опубликованном на прошлой неделе, добавив, что он предназначен для извлечения полезных данных и выполнения произвольных команд.
Есть основания полагать, что вредоносное ПО, скорее всего, написано теми же злоумышленниками, что и вредоносное ПО IcedID, при этом загрузчик используется брокерами начального доступа (IABs) для облегчения развертывания других вредоносных программ.
Latrodectus в основном связан с двумя разными IAB, отслеживаемыми Proofpoint под именами TA577 (он же Water Curupira) и TA578, первый из которых также связан с распространением QakBot и PikaBot.
По состоянию на середину января 2024 года TA578 использовала ее почти исключительно в кампаниях с угрозами по электронной почте, в некоторых случаях передаваемых с помощью заражения DanaBot.
Известно, что TA578, активный по крайней мере с мая 2020 года, был связан с кампаниями по электронной почте, предоставляющими Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike и Bumblebee.
Сети атак используют контактные формы на веб-сайтах для рассылки юридических угроз относительно предполагаемого нарушения авторских прав целевым организациям. Ссылки, встроенные в сообщения, направляют получателей на поддельный веб-сайт, чтобы обманом заставить их загрузить файл JavaScript, который отвечает за запуск основной полезной нагрузки с помощью msiexec.
"Latrodectus отправит зашифрованную системную информацию на сервер командования и управления (C2) и запросит загрузку бота", - сказали исследователи. "Как только бот регистрируется в C2, он отправляет запросы на команды из C2".
Она также обладает возможностями определять, запущена ли она в изолированной среде, проверяя, есть ли у хоста действительный MAC-адрес и запущено ли не менее 75 процессов в системах под управлением Windows 10 или новее.
Как и в случае с IcedID, Latrodectus предназначен для отправки регистрационной информации в POST-запросе на сервер C2, где поля представляют собой HTTP-параметры, составленные вместе и зашифрованные, после чего он ожидает дальнейших инструкций от сервера.
Команды позволяют вредоносному ПО перечислять файлы и процессы, выполнять двоичные и DLL-файлы, запускать произвольные директивы через cmd.exe, обновлять бота и даже завершать запущенный процесс.
Дальнейшее изучение инфраструктуры злоумышленника показывает, что первые серверы C2 заработали 18 сентября 2023 года. Эти серверы, в свою очередь, настроены на взаимодействие с вышестоящим сервером уровня 2, который был настроен примерно в августе 2023 года.
Подключения Latrodectus к IcedID связаны с тем фактом, что сервер T2 "поддерживает соединения с серверной инфраструктурой, связанной с IcedID", и использует переходные окна, ранее связанные с операциями IcedID.
"Latrodectus будет все чаще использоваться финансово мотивированными участниками криминальной среды, особенно теми, кто ранее распространял IcedID", - оценила команда Cymru.
"Latrodectus - это перспективный загрузчик с различными функциями обхода песочницы", - сказали исследователи из Proofpoint и Team Cymru в совместном анализе, опубликованном на прошлой неделе, добавив, что он предназначен для извлечения полезных данных и выполнения произвольных команд.
Есть основания полагать, что вредоносное ПО, скорее всего, написано теми же злоумышленниками, что и вредоносное ПО IcedID, при этом загрузчик используется брокерами начального доступа (IABs) для облегчения развертывания других вредоносных программ.
Latrodectus в основном связан с двумя разными IAB, отслеживаемыми Proofpoint под именами TA577 (он же Water Curupira) и TA578, первый из которых также связан с распространением QakBot и PikaBot.
По состоянию на середину января 2024 года TA578 использовала ее почти исключительно в кампаниях с угрозами по электронной почте, в некоторых случаях передаваемых с помощью заражения DanaBot.
Известно, что TA578, активный по крайней мере с мая 2020 года, был связан с кампаниями по электронной почте, предоставляющими Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strike и Bumblebee.
Сети атак используют контактные формы на веб-сайтах для рассылки юридических угроз относительно предполагаемого нарушения авторских прав целевым организациям. Ссылки, встроенные в сообщения, направляют получателей на поддельный веб-сайт, чтобы обманом заставить их загрузить файл JavaScript, который отвечает за запуск основной полезной нагрузки с помощью msiexec.
"Latrodectus отправит зашифрованную системную информацию на сервер командования и управления (C2) и запросит загрузку бота", - сказали исследователи. "Как только бот регистрируется в C2, он отправляет запросы на команды из C2".
Она также обладает возможностями определять, запущена ли она в изолированной среде, проверяя, есть ли у хоста действительный MAC-адрес и запущено ли не менее 75 процессов в системах под управлением Windows 10 или новее.
Как и в случае с IcedID, Latrodectus предназначен для отправки регистрационной информации в POST-запросе на сервер C2, где поля представляют собой HTTP-параметры, составленные вместе и зашифрованные, после чего он ожидает дальнейших инструкций от сервера.
Команды позволяют вредоносному ПО перечислять файлы и процессы, выполнять двоичные и DLL-файлы, запускать произвольные директивы через cmd.exe, обновлять бота и даже завершать запущенный процесс.
Дальнейшее изучение инфраструктуры злоумышленника показывает, что первые серверы C2 заработали 18 сентября 2023 года. Эти серверы, в свою очередь, настроены на взаимодействие с вышестоящим сервером уровня 2, который был настроен примерно в августе 2023 года.
Подключения Latrodectus к IcedID связаны с тем фактом, что сервер T2 "поддерживает соединения с серверной инфраструктурой, связанной с IcedID", и использует переходные окна, ранее связанные с операциями IcedID.
"Latrodectus будет все чаще использоваться финансово мотивированными участниками криминальной среды, особенно теми, кто ранее распространял IcedID", - оценила команда Cymru.
