EclecticIQ威胁研究小组最近公布了一个新的恶意广告活动,该活动与臭名昭著的LUNAR SPIDER组织有关,LUNAR SPIDER组织是一个讲俄语、有经济动机的网络犯罪组织,以部署IcedID和Latrodectus等知名恶意软件家族而闻名。2024 年 10 月,LUNAR SPIDER 在被执法部门破坏一段时间后重新开始运作,利用复杂的技术躲避侦查,并在网络犯罪生态系统中保持其立足点。
LUNAR SPIDER以在勒索软件活动中部署IcedID恶意软件而闻名,其最新战略是在攻击武器库中采用Brute Ratel C4(BRc4)。据 EclecticIQ 分析师称:“该行为者利用 Brute Ratel C4,显示出显著的适应能力和决心,在执法压力增大的情况下继续开展活动”。这标志着一个重大的战术转变,该组织现在依靠 Latrodectus 下载器来发送 Brute Ratel。
这种恶意广告活动利用搜索引擎优化中毒(一种操纵搜索引擎结果以诱骗用户点击恶意链接的技术)。在本例中,Latrodectus 下载器以金融服务为目标,将搜索税务相关内容的受害者重定向到下载一个混淆的 JavaScript 文件。激活后,该文件会获取一个恶意 MSI 安装程序,伪装成合法的英伟达文件,最终在受害者系统中安装 Brute Ratel C4。
Latrodectus 恶意软件的执行流程 | 图片: EclecticIQ
报告指出:“这种对共享提供商和类似基础设施的一致使用,凸显了 LUNAR SPIDER 是如何在不同恶意软件家族中有效协调其恶意活动的。通过利用 200 多个恶意基础设施和重叠的指挥控制服务器,LUNAR SPIDER 可以高效地伪装和维持其活动。”
LUNAR SPIDER 在网络犯罪生态系统中的影响非常广泛。有证据表明,它与其他组织进行了大量合作,其中包括 TrickBot 和 Conti 勒索软件背后的组织 WIZARD SPIDER,以及 ALPHV/BlackCat 勒索软件的附属组织。报告称,“LUNAR SPIDER 通过其 IcedID 恶意软件在网络犯罪生态系统中建立了重要联系”,该恶意软件为勒索软件操作员提供了初始访问权限。共享基础设施,如 LUNAR SPIDER 的 Latrodectus 和 ALPHV 的 C2 域使用的 IP 地址 173[.]255[.]204[.]62,说明了这些威胁行为者之间的协同运作。
EclecticIQ 利用 MITRE ATT&CK 分析工具绘制了 LUNAR SPIDER 的战术、技术和程序 (TTP),这有助于了解威胁行动者的行为。报告强调了这种映射的价值: “通过了解这些技术,安全团队可以建立更有效的检测和响应策略,提高防范类似攻击的能力。”
随着 LUNAR SPIDER 不断调整和扩大其影响范围,我们敦促金融行业和其他行业的网络安全团队保持警惕,尤其是对恶意广告和 SEO 中毒攻击保持警惕。
1.本站内容仅供参考,不作为任何法律依据。用户在使用本站内容时,应自行判断其真实性、准确性和完整性,并承担相应风险。
2.本站部分内容来源于互联网,仅用于交流学习研究知识,若侵犯了您的合法权益,请及时邮件或站内私信与本站联系,我们将尽快予以处理。
3.本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
4.根据《计算机软件保护条例》第十七条规定“为了学习和研究软件内含的设计思想和原理,通过安装、显示、传输或者存储软件等方式使用软件的,可以不经软件著作权人许可,不向其支付报酬。”您需知晓本站所有内容资源均来源于网络,仅供用户交流学习与研究使用,版权归属原版权方所有,版权争议与本站无关,用户本人下载后不能用作商业或非法用途,需在24个小时之内从您的电脑中彻底删除上述内容,否则后果均由用户承担责任;如果您访问和下载此文件,表示您同意只将此文件用于参考、学习而非其他用途,否则一切后果请您自行承担,如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。
5.本站是非经营性个人站点,所有软件信息均来自网络,所有资源仅供学习参考研究目的,并不贩卖软件,不存在任何商业目的及用途
暂无评论内容