EclecticIQ威胁研究小组最近公布了一个新的恶意广告活动,该活动与臭名昭著的LUNAR SPIDER组织有关,LUNAR SPIDER组织是一个讲俄语、有经济动机的网络犯罪组织,以部署IcedID和Latrodectus等知名恶意软件家族而闻名。2024 年 10 月,LUNAR SPIDER 在被执法部门破坏一段时间后重新开始运作,利用复杂的技术躲避侦查,并在网络犯罪生态系统中保持其立足点。
LUNAR SPIDER以在勒索软件活动中部署IcedID恶意软件而闻名,其最新战略是在攻击武器库中采用Brute Ratel C4(BRc4)。据 EclecticIQ 分析师称:“该行为者利用 Brute Ratel C4,显示出显著的适应能力和决心,在执法压力增大的情况下继续开展活动”。这标志着一个重大的战术转变,该组织现在依靠 Latrodectus 下载器来发送 Brute Ratel。
这种恶意广告活动利用搜索引擎优化中毒(一种操纵搜索引擎结果以诱骗用户点击恶意链接的技术)。在本例中,Latrodectus 下载器以金融服务为目标,将搜索税务相关内容的受害者重定向到下载一个混淆的 JavaScript 文件。激活后,该文件会获取一个恶意 MSI 安装程序,伪装成合法的英伟达文件,最终在受害者系统中安装 Brute Ratel C4。
Latrodectus 恶意软件的执行流程 | 图片: EclecticIQ
报告指出:“这种对共享提供商和类似基础设施的一致使用,凸显了 LUNAR SPIDER 是如何在不同恶意软件家族中有效协调其恶意活动的。通过利用 200 多个恶意基础设施和重叠的指挥控制服务器,LUNAR SPIDER 可以高效地伪装和维持其活动。”
LUNAR SPIDER 在网络犯罪生态系统中的影响非常广泛。有证据表明,它与其他组织进行了大量合作,其中包括 TrickBot 和 Conti 勒索软件背后的组织 WIZARD SPIDER,以及 ALPHV/BlackCat 勒索软件的附属组织。报告称,“LUNAR SPIDER 通过其 IcedID 恶意软件在网络犯罪生态系统中建立了重要联系”,该恶意软件为勒索软件操作员提供了初始访问权限。共享基础设施,如 LUNAR SPIDER 的 Latrodectus 和 ALPHV 的 C2 域使用的 IP 地址 173[.]255[.]204[.]62,说明了这些威胁行为者之间的协同运作。
EclecticIQ 利用 MITRE ATT&CK 分析工具绘制了 LUNAR SPIDER 的战术、技术和程序 (TTP),这有助于了解威胁行动者的行为。报告强调了这种映射的价值: “通过了解这些技术,安全团队可以建立更有效的检测和响应策略,提高防范类似攻击的能力。”
随着 LUNAR SPIDER 不断调整和扩大其影响范围,我们敦促金融行业和其他行业的网络安全团队保持警惕,尤其是对恶意广告和 SEO 中毒攻击保持警惕。