2024-10-30 月蜘蛛Latrodectus JS加载器样本
攻击概述
LUNAR SPIDER近期活动使用Latrodectus(一种高度混淆的JavaScript加载器)来分发针对金融部门的Brute Ratel C4(BRc4)载荷。
关键技术观察
恶意广告与SEO投毒
- 搜索税务相关内容的受害者被重定向下载恶意JavaScript文件(如Document-16-32-50.js)
- 这些脚本检索MSI安装程序,通过将载荷伪装为合法软件(vierm_soft_x64.dll,通过rundll32执行)来部署BRc4
- 此方法展示了绕过检测的高级规避策略
命令与控制(C2)基础设施
- BRc4与多个C2域通信,如bazarunet[.]com和tiguanin[.]com,允许在受感染系统上执行远程访问和命令
- 持久性基础设施重叠包括SSL证书颁发者字段"AU"、“Some-State"和"Internet Widgits Pty Ltd”,这些经常与LUNAR SPIDER的IcedID操作相关联
- ASN 395092(SHOCK-1)持续托管IcedID和Latrodectus活动,表明恶意软件家族间存在共享资源池
持久化机制
BRc4载荷修改Windows注册表,特别是在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run下添加条目以实现重启后持久化。
基础设施共享
情报显示LUNAR SPIDER与其他组织(如ALPHV/BlackCat和WIZARD SPIDER)共享基础设施和恶意软件服务。例如,域peronikilinfer[.]com和jkbarmossen[.]com都托管在IP 173[.]255[.]204[.]62上,分别作为IcedID和Latrodectus的C2服务器。
这种基础设施重叠,加上被动DNS关联,表明紧密的操作联系,并指出LUNAR SPIDER作为勒索软件操作者的关键访问经纪人角色。
技术分析
Document-16-32-50.js脚本经过混淆以规避检测。分析人员去混淆后揭示了其功能:从45[.]14[.]244[.]124/dsa.msi下载并执行MSI载荷。该脚本检查Windows安装程序进程(WindowsInstaller.Installer)并包含特定的驱动器检查(i < drives.length)用于执行控制流。
样本信息
|
|
恶意软件存储库链接
在过去15年中,随着博客的存在,许多托管提供商由于更严格的无恶意软件政策而停止支持。这导致了链接失效,尤其是在较旧的帖子中。如果您在contagiodump.blogspot.com(或contagiominidump.blogspot.com)上发现损坏的链接,只需记下URL中的文件名并在Contagio恶意软件存储库中搜索即可。