Киберпреступники Lunar Spider атакуют организации через поддельную CAPTCHA и подгрузку вредоносных DLL

APT

Финансово мотивированная группировка Lunar Spider, известная своими атаками на банки и предприятия Северной Америки и Европы, обновила инструментарий и теперь использует более изощренные методы заражения. В новой кампании злоумышленники распространяют Lotus V2 Loader - продвинутый загрузчик вредоносного ПО, который доставляет второстепенные нагрузки на скомпрометированные системы.

Описание

Кампания начинается с фишинговой страницы, на которой жертве предлагается пройти проверку CAPTCHA для продолжения работы. Однако вместо настоящего теста на человечность запускается PowerShell-скрипт, использующий COM-объект WindowsInstaller для скрытой загрузки вредоносного MSI-пакета.

После запуска MSI-инсталлятора в папку "%APPDATA%" копируется легитимный исполняемый файл, например, "igfxSDK.exe" от Intel. Одновременно с ним загружается вредоносная DLL "WTSAPI32.dll", которая подменяет системную библиотеку. Когда пользователь или система запускают легитимный файл, он автоматически загружает зловредный код, внедренный в DLL.

Использование подписанного (хотя и отозванного) сертификата для вредоносной DLL и легитимного ПО позволяет злоумышленникам обходить защитные механизмы. В ряде случаев EDR-системы не фиксируют подозрительную активность, так как заражение происходит через доверенные процессы.

После успешного внедрения Lotus V2 Loader устанавливает связь с C2-серверами, маскируя трафик под легитимные запросы. В некоторых случаях EDR блокирует сетевые соединения на основе сигнатур угроз, однако атака остается труднодетектируемой из-за применения методов обхода защиты.

Для предотвращения подобных атак эксперты советуют усилить контроль за исполнением PowerShell-скриптов, блокировать подозрительные COM-объекты и отслеживать аномальные действия в "%APPDATA%". Также важно обновлять сигнатуры EDR и использовать механизмы проверки цифровых подписей файлов.

Lunar Spider продолжает совершенствовать свои инструменты, и эта кампания демонстрирует, насколько важна многоуровневая защита от современных угроз. Организациям следует обучать сотрудников распознаванию фишинга и внедрять технологии поведенческого анализа для своевременного выявления атак.

Индикаторы компрометации

Domains

  • daringdesigners.com
  • domtrst455.com
  • fide45felhs.com
  • higtwebgenis.com
  • kiprihorycom.com
  • pros0512.com
  • prot12-05.com
  • prot2-0512.com
  • safewithusres.com
  • valifoprofsto.com
  • visafropik.com

SHA256

  • 149309f9183b9baa2bd4db6df52873efdeefa3315ed158843cabcba149bec880
  • 24d7cc12381e2502ac7fac42d2dbd1301b5dc1e0f6e797a62fac56dc570438dd
  • 35e60a0107b9e56d6bec9b504a4e3396a580c8c7cabf317e23c78ffe2b3686a0
  • 3b2b5b486cc4229c8c43db8d7f74c2e1c0d0f1665b927e9d649dab838c682ac1
  • 405a5258b1f8c02ca45cfbcbcaba6152cf481665a160bc8971bbc837dc70a4c5
  • 5070cc64b72062e18baa2ba164e1fef9d9a57a9962a64738d8405cd8c3af5101
  • 69af1d10dd1dacae362ab8fd4e5bcc97ddb363cdeb06a4bf1bc3db4dfc68b1e1
  • a66f6e35103338c25ee143c98a6f722c87a663610f147564f99b87468315a1f7
  • e798f2b3f7a44f5a9db7199964a0b5cc157db8cb1e84a3c8cbe721dbac0f0604
  • ec29ce8537e112869dfccb8a57574ebd01eecd7ff5c9fff54fdc1b05ea8941b3

Certificate Subject CN

  • LLC Xenit
  • Wuxi Weitai Nano Technology Co., Ltd.

Certificate Serial Number

  • 5631DCB283EC62ED3B96E8BE
  • 5F36FF3EFCF0620ED7D1FD6C

Certificate Thumbprint

  • C519277F61B1BE886D187A0C2E7909D694933250
  • DAD62095A80EEA1E6DECF91F957E59BA562B27A1
Комментарии: 0