情报中心内部：LUNAR SPIDER 利用 Brute Ratel C4 和 Latrodectus 对金融部门发起勒索软件

执行摘要

PS：文中内容的[数字]对应文章末尾的参考，2024 年 10 月，EclecticIQ 分析师观察到一场恶意广告活动，该活动使用名为 Latrodectus [ 1 ] 的混淆 JavaScript 下载器来投放与 Brute Ratel C4 (BRc4) [ 2 ]相关的恶意负载。分析师高度确信，此次活动很可能与 LUNAR SPIDER [ 3 ] 有关，LUNAR SPIDER 是一个以俄语为母语、以经济为目的的威胁行为者组织，至少自 2009 年以来一直活跃。LUNAR SPIDER 开发了几个备受关注的恶意软件家族，包括 IcedID [ 4 ] 和 Latrodectus。IcedID 恶意软件通常通过恶意软件即服务 (MaaS) 产品进行分发，从而使其关联组织（例如 ALPHA SPIDER/BlackCat 勒索软件组织 [ 5 ]）能够利用这些服务进行初步攻击。

 图 1 - EclecticIQ 情报中心所见的LUNAR SPIDER 恶意广告活动的图形视图（点击图像放    大）。 

2024 年 5 月 30 日，FBI 和国际合作伙伴执行了 Operation Endgame [6] ，摧毁了至少四种恶意软件变种的命令和控制基础设施，包括IcedID ( BokBot )、Smokeloader [ 7 ] 、Pikabot [ 8 ]和 Bumblebee [ 9 ] 。EclecticIQ分析师高度确信，LUNAR SPIDER 在执法行动破坏其基础设施后恢复了运营。在最近的活动中，该行为者利用了Brute Ratel C4，表现出显著的适应性和决心，尽管执法压力加大，但仍继续开展活动。   

Conti 泄密揭露了LUNAR SPIDER和WIZARD SPIDER成员之间的联系

EclecticIQ 分析师根据 2022 年泄露的 Conti 勒索软件组织通信文件，高度自信地评估 LUNAR SPIDER 已与网络犯罪生态系统建立了重要的联系 [ 10 ]。他们很可能为勒索软件运营商提供了初步访问权限，例如 WIZARD SPIDER [ 11 ]、TrickBot [ 12 ] 恶意软件背后的俄罗斯组织以及 Conti 勒索软件即服务 (RaaS) [ 13 ]。LUNAR SPIDER 和 WIZARD SPIDER 之间的这种合作通过共享工具和基础设施（如 IcedID 和其他用于逃避 EDR/AV 检测的服务）促进了勒索软件活动。LUNAR   SPIDER 组织之前由 Vyacheslav Igorevich Penchukov [ 14

]领导，他还使用过 Tank、Zeus、Zevs、Father 和 TopBro 等别名。在 2022 年 9 月于瑞士被捕之前，Penchukov 是 LUNAR SPIDER 行动中的关键人物。图 2 显示了俄语威胁行为者 angelo 和 manuel 之间泄露的对话，他们很可能是 Conti 勒索软件即服务 (RaaS) 内部的开发人员。翻译后的对话显示，LUNAR SPIDER 领导人 Zeus (Penchukov) 是他们的合作伙伴。尽管他被引渡到美国并于 2024 年被判处 18 年监禁，但 LUNAR SPIDER 仍在继续运作，以坚韧不拔的态度适应领导层的变化和执法行动。  

图 2 – Conti Ranso    mware

（WIZARD SPIDER）开发人员之间的对话。

分析人员高度确信，LUNAR SPIDER 与其他勒索软件组织保持着联系，包括 Nemty [ 15 ]（又名：TRAVELING SPIDER）和 TA2101（又名：TWISTED SPIDER）[ 16 ]，这些组织利用 LUNAR SPIDER 的恶意软件 IcedID 获得对受害者环境的初始访问权限。这些合作进一步强调了 LUNAR SPIDER 作为网络犯罪生态系统中初始访问代理的核心作用。 

图 3 – LUNAR SPIDER 的关系。

LUNAR SPIDER 威胁行为者从 IcedID 切换到 Brute Ratel C4 恶意软件  

EclecticIQ 分析师高度肯定地认为 LUNAR SPIDER 已经改变了策略，从之前使用的 IcedID (BokBot) 转向现在利用 Latrodectus 和 Brute Ratel C4 恶意软件。 

分析师发现，威胁行为者组织 LUNAR SPIDER 是与 IcedID 和 Latrodectus 恶意软件家族相关的 200 多个恶意基础设施（图 4）的幕后黑手。虽然这些恶意软件操作以前被认为是独立的，但它们在底层基础设施方面存在很大重叠。例如，两者都使用具有几乎相同颁发者详细信息的 SSL 证书，如“AU”、“Some-State”和“Internet Widgits Pty Ltd”。此外，LUNAR SPIDER 在两次活动中始终使用相同的服务提供商，例如 SHOCK-1 (ASN 395092)。这种对共享提供商和类似基础设施的一致使用凸显了 LUNAR SPIDER 如何有效地协调其在不同恶意软件家族中的恶意活动。 

图4 – 不同恶意软件变体之间的基础设施重叠

据观察，与 LUNAR SPIDER 相关的下载程序 Latrodectus 针对金融服务部署了 Brute Ratel，这表明该组织在恶意软件部署方法上发生了战略变化。这一转变凸显了该组织在网络行动中不断演变和适应，他们采用了更隐蔽的攻击方式。 

追踪 Latrodectus 基础设施  

分析师利用 EclecticIQ 威胁情报平台 (TIP) 情报中心提取了与 Latrodectus 相关的恶意基础设施。据 Open-Source Intelligence 称，分析师观察到超过 200 台 Latrodectus 服务器很可能由 LUNAR SPIDER 威胁行为者的成员管理。 

图 5 – 追踪

情报中心的 Latrodectus 基础设施。

图 6 突出显示了与之前检测到的 Latrodectus 基础设施相关联的顶级自治系统编号 (ASN)。ASN 对于识别可能促进网络威胁活动的关键服务提供商至关重要。位居榜首的是 BlueVPS OU (AS 62005)，有 33 个实例，其次是 OVH SAS (AS 16276) 和 The Infrastructure Group BV (AS 60404)。跟踪这些 ASN 可以深入了解恶意基础设施，因为攻击者通常依赖特定的托管服务来实施攻击或托管命令和控制 (C2) 服务器。 

图 6 – Latrodectus 恶意软件使用的前 10 个 ASN 服务所有者。

IcedID 恶意软件启用 ALPHV 勒索软件攻击，揭露与 LUNAR SPIDER 共享的基础设施 

在 2023 年 10 月观察到的一项活动中，与 ALPHV（也称为 BlackCat）有关的威胁行为者使用 IcedID 恶意软件作为初始攻击媒介执行了勒索软件攻击。[ 17 ] 该行动始于一场垃圾邮件活动，通过包含 Visual Basic 脚本 (VBS) 的恶意 ZIP 文件传播 IcedID 版本。执行后，IcedID 加载程序会自行安装，攻击者使用 Impacket 的 wmiexec [ 18 ] 和 RDP 进行横向移动，从而在系统之间部署 ScreenConnect。随着部署 Cobalt Strike 信标用于命令和控制 (C2) 目的以及使用 CSharp Streamer RAT [ 19 ] 通过 Rclone 等工具窃取凭据和敏感数据，该活动进一步升级 [ 20 ]。在最初的入侵发生八天后，ALPHV 勒索软件被部署在所有加入域的 Windows 系统中，导致数据成功加密，并留下了赎金纸条。 

图 7 – LUNAR SPIDER和 ALPHV/BlackCat 勒索软件之间可能共享基础设施。

EclecticIQ 分析师发现的证据表明 LUNAR SPIDER 与 ALPHV/BlackCat 勒索软件关联公司之间很可能存在联系。2024 年 9 月，由 LUNAR SPIDER 开发和管理的域 peronikilinfer[.]com 充当 Latrodectus 恶意软件的命令和控制 (C2) 服务器，托管在 IP 地址 173[.]255[.]204.[]62 上。2023 年 10 月，ALPHV/BlackCat 使用了另一个域 jkbarmossen[.]com，该域也托管在同一 IP 地址上，并充当 IcedID 的 C2 服务器，IcedID 是另一个由 LUNAR SPIDER 开发和管理的恶意软件家族。这种对相同基础设施和恶意软件的重叠使用强调了 IcedID 和 Latrodectus 都是 LUNAR SPIDER 运营的核心。共享的基础设施表明 LUNAR SPIDER 的恶意软件正在为 ALPHV/BlackCat 的勒索软件活动提供支持，这凸显了这两个团体之间的合作关系。 

被动 DNS 记录表明，基础设施的重复使用和重叠的命令与控制资产强化了 LUNAR SPIDER 和 ALPHV/BlackCat 之间协作的理论。LUNAR SPIDER 可能通过 IcedID 促成了初始访问，然后 ALPHV/BlackCat 运营商利用该访问来部署勒索软件并窃取敏感数据。这些联系得到了被动 DNS 证据的支持，凸显了这两个团体之间的运营协同作用，进一步支持了对共享策略、技术和基础设施的评估。 

Latrodectus 恶意软件通过 SEO 投毒攻击金融服务，以提供暴力 Ratel C4 

EclecticIQ 分析师在针对金融服务的 SEO 投毒恶意广告活动中观察到 Latrodectus 下载器变体，用于下载和执行 Brute Ratel C4 恶意软件。执行 Brute Ratel C4 后，恶意软件通过很可能由 LUNAR SPIDER 成员拥有的命令和控制服务器进行通信，并让他们远程访问受害设备。 

图 8 说明了恶意广告活动的攻击流程，该活动利用 SEO 投毒技术来传递其负载。SEO 投毒涉及操纵搜索引擎排名以突出显示恶意链接，诱骗用户点击它们。在本例中，在 Bing 浏览器上搜索税务相关内容的受害者被重定向到下载名为 Document-16-32-50.js 的恶意混淆 JavaScript 文件。 

图 8 – Latrodectus 恶意软件的执行流程。 

执行后，JavaScript 文件会从远程服务器检索 Windows 安装程序 (MSI)，从而安装 Brute Ratel 恶意软件。从 45[.]14[.]244[.]124/dsa.msi 下载的 MSI 文件通过 rundll32.exe 进程执行，将恶意 DLL (vierm_soft_x64.dll) 伪装成合法的 NVIDIA 文件。 

持久性机制和命令与控制 (C2)：为了建立持久性，恶意软件在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

下创建了一个注册表项， 这使其即使在系统重启后仍能保持活动状态。安装后，Brute Ratel 多次连接到攻击者控制的命令和控制 (C2) 服务器，包括 bazarunet[.]com、greshunka[.]com 和 tiguanin[.]com。这些 C2 服务器促进了受感染设备与攻击者之间的通信，使他们能够发出命令并控制受感染的系统。反混淆 JavaScript 文件：恶意 JavaScript 文件 Document-16-32-50.js 被混淆为 Latrodectus 恶意软件家族的一部分。分析师反混淆了脚本并揭示了其功能（图 7）。它旨在从服务器下载 MSI 有效负载，从而进入感染的最后阶段。 

图 9 – 去混淆的 JavaScript 文件。

下载 MSI 文件后，它会将 DLL 格式的 Brute Ratel C4 放在以下位置：C:Users<user-name>AppDataRoamingvierm_soft_x64.dll。然后，恶意软件通过 rundll32.exe 执行，与攻击者控制的 C2 服务器建立通信，以保持对受害者设备的控制。这些 C2 服务器是攻击的核心，可实现进一步的恶意活动或数据泄露。 

图 10 – 在 Sysmon 事件日志中执行 Brute Ratel C4 DLL。

分析师利用 EclecticIQ 情报中心内的 MITRE ATT&CK 分析工具绘制了 Lunar Spider 的战术、技术和程序 (TTP)。这种映射对于防御者来说至关重要，因为它有助于识别威胁行为者的行动模式。通过了解这些技术，安全团队可以制定更有效的检测和响应策略，从而增强他们预防类似攻击的能力。

图 11 – Lunar Spider 激活映射到

EclecticIQ MITRE ATT&CK 分析工具的自动化功能。

在图 11 中，情报中心将 Lunar Spider 的 TTP 自动映射到 EclecticIQ MITRE ATT&CK 分析工具，展示了情报驱动防御的强大功能。这种方法通过提供对对手行为的清晰洞察，增强了防御者的能力，使他们能够针对不断变化的威胁形势主动搜寻威胁并采取缓解措施。 

EclecticIQ 情报中心的力量 

• 发现隐藏的联系：使用 EclecticIQ 威胁图视图检测威胁行为者（如 LUNAR SPIDER 和 ALPHV/BlackCat）之间以前未知的基础设施和恶意软件联系。这使安全团队能够在协同网络威胁升级之前主动阻止它们。 

• 快速情报收集：通过 LUNAR SPIDER 的工具（如 IcedID 和 Latrodectus）汇总来自不同 OSINT 来源的情报和 IOC，深入了解其 TTP 和基础设施。这可以加快响应时间并增强威胁缓解策略，使组织始终领先攻击者一步。 

• 战略 TTP 映射：利用 EclecticIQ 的 MITRE ATT&CK 分析工具将 LUNAR SPIDER 的活动直接映射到 MITRE 框架。这可以清楚地了解他们的攻击模式，使组织能够针对威胁行为者使用的特定策略制定更好的防御措施。 

• 自动数据丰富：利用自动丰富功能从已知的 C2 服务器转移并快速识别新的攻击者控制的基础设施。这减少了暴露窗口，提高了威胁检测准确性，并增强了整体安全态势。 

YARA 规则

rule CRIME_LOADER_Latrodectus_JS_LunarSpider_Oct2024_01 
{ 
    meta: 
        author = "Arda Buyukkaya, EclecticIQ" 
        description = "Detects JavaScript files associated with the Latrodectus loader, also known as Lotus Loader, used to download MSI payloads. This activity is linked to the Lunar Spider crime group. The rule identifies specific patterns within JavaScript code indicative of malicious loader behavior." 
        malware_family = "Latrodectus (Lotus Loader)" 
        last_modified = "2024-10-15" 
        tags = "loader, lotus, JavaScript, MSI, LunarSpider, Oct2024" 

    strings: 
        $x_installer_reference = "WindowsInstaller.Installer" 
        $x_encoded_signature = "/ EGqk1paQjoH4fKsvtaNXM9JYe5QObQ+lkSYqs4NPcrGKrn// SIG // e2SS0PC0VV+WCxHl" 
         
        // Grouped strings for drive checking and script execution flow 
        $s_drive_check = "i < drives.length" 
        $s_script_path = "filePath = WScript.ScriptFullName," 
        $s_script_buffer = "scriptBuffer = "" 

        // Fallback patterns for JavaScript MSI execution 
        $a_msiexec_keyword = {2F 2F 2F 2F 20 20 20 20 76 61 72 20 69 6E 73 74 61 6C 6C 43 6F 6D 6D 61 6E 64 20 3D 20 27 6D 73 69 65 78 65 63 2E 65 78 65} 
        $a_comment_block = {2F 2F 2F 2F 20 20 20 20} 

    condition: 
        // The file must be larger than 256KB, and the following must hold: 
        // 1. Either all primary detection strings are present. 
        // 2. If no primary strings are found, fallback strings for JavaScript MSI must be present. 
        filesize > 256000 and ( 
            (all of ($x_installer_reference, $x_encoded_signature) or all of ($s_drive_check, $s_script_path, $s_script_buffer)) or 
            ($a_msiexec_keyword and $a_comment_block) 
        ) 
}

rule MAL_LOADER_LunarSpider_Lotus_Aug2024_01 
{ 
    meta: 
        author = "Arda Buyukkaya - EclecticIQ" 
        description = "Detects Lotus loader linked to Lunar Spider threat actor, observed in August 2024." 
        last_modified = "2024-08-16" 
        threat_actor = "Lunar Spider" 
        malware_family = "Lotus Loader" 
        tags = "loader, lotus, LunarSpider, August2024" 

    strings: 
        $x_debug_function = {e8 [4] 0f b6 40 02 48 83 c4 28} 
        $x_process_environment_block = {65 48 8b 04 25 60 00 00 00 c3} 
        $x_sleep_interval = {b9 58 02 00 00 f7 f1 8b c2 05 dc 05 00 00 69 c0 e8 03 00 00} 

    condition: 

        // Ensures the PE import hash matches and all specific detection patterns are present 
        pe.imphash() == "db7aeb75528663639689f852fd366243"  
        and all of ($x_debug_function, $x_process_environment_block, $x_sleep_interval) 
}

Indicators of Compromise (IOCs)

参考

[1]       “Latrodectus：这种蜘蛛咬起来像冰 | Proofpoint US”，Proofpoint。访问时间：2024 年 10 月 15 日。[在线]。网址：https ://www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice

[2]       “Brute Ratel C4（恶意软件家族）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //malpedia.caad.fkie.fraunhofer.de/details/win.brute_ratel_c4

[3]       “LUNAR SPIDER（威胁行为者）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //malpedia.caad.fkie.fraunhofer.de/actor/lunar_spider

[4]       “IcedID（恶意软件家族）”。访问时间：2024 年 1 月 29 日。[在线]。网址：https: //malpedia.caad.fkie.fraunhofer.de/details/win.icedid  

[5]       “Alpha Spider（威胁行为者）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //malpedia.caad.fkie.fraunhofer.de/actor/alpha_spider  

[6] “终局行动”。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //www.operation-endgame.com/ 

[7]       “ SmokeLoader （恶意软件家族）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https://malpedia.caad.fkie.fraunhofer.de/details/win.smokeloader  

[8]       “Pikabot（恶意软件家族）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //malpedia.caad.fkie.fraunhofer.de/details/win.pikabot  

[9]       “ BumbleBee （恶意软件家族）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https://malpedia.caad.fkie.fraunhofer.de/details/win.bumblebee  

[10]     “Conti 勒索软件集团内部聊天记录泄露 | Rapid7 博客”，Rapid7。访问时间：2024 年 10 月 15 日。[在线]。网址：https ://www.rapid7.com/blog/post/2022/03/01/conti-ransomware-group-internal-chats-leaked-over-russia-ukraine-conflict/  

[11]     “WIZARD SPIDER（威胁行为者）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //malpedia.caad.fkie.fraunhofer.de/actor/wizard_spider

[12]     “ TrickBot恶意软件 | CISA。”访问时间：2024 年 10 月 15 日。[在线]。网址：https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-076a  

[13]     “Conti 勒索软件 | CISA。”访问时间：2024 年10 月15 日。[在线]。网址：https: //www.cisa.gov/news-events/alerts/2021/09/22/conti-ransomware

[14] “公共事务办公室 | 外国国民承认参与网络犯罪计划，损失数千万美元 | 美国司法部。”访问时间：2024 年 10 月 15 日。[在线]。网址：https: //www.justice.gov/opa/pr/foreign-national-pleads-guilty-role-cybercrime-schemes-involving-tens-millions-dollars  

[15] “Nemty（恶意软件家族）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https://malpedia.caad.fkie.fraunhofer.de/details/win.nemty  

[16] “TA2101 冒充政府传播恶意软件 | Proofpoint US”，Proofpoint。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //www.proofpoint.com/us/threat-insight/post/ta2101-plays-government-imposter-distribute-malware-german-italian-and-us  

[17] “IcedID 将 ScreenConnect 和 CSharp Streamer 引入 ALPHV 勒索软件部署”，DFIR 报告。访问时间：2024 年 10 月 15 日。[在线]。网址：https ://thedfirreport.com/2024/06/10/icedid-brings-screenconnect-and-csharp-streamer-to-alphv-ransomware-deployment/  

[18] “Impacket - Red Canary 威胁检测报告”，Red Canary。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //redcanary.com/threat-detection-report/threats/impacket/  

[19] “csharp-streamer RAT（恶意软件家族）”。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //malpedia.caad.fkie.fraunhofer.de/details/win.csharpstreamer  

[20] MT Intelligence，“BlackCat 勒索软件的多重生命”，微软安全博客。访问时间：2024 年 10 月 15 日。[在线]。网址：https: //www.microsoft.com/en-us/security/blog/2022/06/13/the-many-lives-of-blackcat-ransomware/