Финансово мотивированная группировка Lunar Spider, известная своими атаками на банки и предприятия Северной Америки и Европы, обновила инструментарий и теперь использует более изощренные методы заражения. В новой кампании злоумышленники распространяют Lotus V2 Loader - продвинутый загрузчик вредоносного ПО, который доставляет второстепенные нагрузки на скомпрометированные системы.
Описание
Кампания начинается с фишинговой страницы, на которой жертве предлагается пройти проверку CAPTCHA для продолжения работы. Однако вместо настоящего теста на человечность запускается PowerShell-скрипт, использующий COM-объект WindowsInstaller для скрытой загрузки вредоносного MSI-пакета.
После запуска MSI-инсталлятора в папку "%APPDATA%" копируется легитимный исполняемый файл, например, "igfxSDK.exe" от Intel. Одновременно с ним загружается вредоносная DLL "WTSAPI32.dll", которая подменяет системную библиотеку. Когда пользователь или система запускают легитимный файл, он автоматически загружает зловредный код, внедренный в DLL.
Использование подписанного (хотя и отозванного) сертификата для вредоносной DLL и легитимного ПО позволяет злоумышленникам обходить защитные механизмы. В ряде случаев EDR-системы не фиксируют подозрительную активность, так как заражение происходит через доверенные процессы.
После успешного внедрения Lotus V2 Loader устанавливает связь с C2-серверами, маскируя трафик под легитимные запросы. В некоторых случаях EDR блокирует сетевые соединения на основе сигнатур угроз, однако атака остается труднодетектируемой из-за применения методов обхода защиты.
Для предотвращения подобных атак эксперты советуют усилить контроль за исполнением PowerShell-скриптов, блокировать подозрительные COM-объекты и отслеживать аномальные действия в "%APPDATA%". Также важно обновлять сигнатуры EDR и использовать механизмы проверки цифровых подписей файлов.
Lunar Spider продолжает совершенствовать свои инструменты, и эта кампания демонстрирует, насколько важна многоуровневая защита от современных угроз. Организациям следует обучать сотрудников распознаванию фишинга и внедрять технологии поведенческого анализа для своевременного выявления атак.
Индикаторы компрометации
Domains
- daringdesigners.com
- domtrst455.com
- fide45felhs.com
- higtwebgenis.com
- kiprihorycom.com
- pros0512.com
- prot12-05.com
- prot2-0512.com
- safewithusres.com
- valifoprofsto.com
- visafropik.com
SHA256
- 149309f9183b9baa2bd4db6df52873efdeefa3315ed158843cabcba149bec880
- 24d7cc12381e2502ac7fac42d2dbd1301b5dc1e0f6e797a62fac56dc570438dd
- 35e60a0107b9e56d6bec9b504a4e3396a580c8c7cabf317e23c78ffe2b3686a0
- 3b2b5b486cc4229c8c43db8d7f74c2e1c0d0f1665b927e9d649dab838c682ac1
- 405a5258b1f8c02ca45cfbcbcaba6152cf481665a160bc8971bbc837dc70a4c5
- 5070cc64b72062e18baa2ba164e1fef9d9a57a9962a64738d8405cd8c3af5101
- 69af1d10dd1dacae362ab8fd4e5bcc97ddb363cdeb06a4bf1bc3db4dfc68b1e1
- a66f6e35103338c25ee143c98a6f722c87a663610f147564f99b87468315a1f7
- e798f2b3f7a44f5a9db7199964a0b5cc157db8cb1e84a3c8cbe721dbac0f0604
- ec29ce8537e112869dfccb8a57574ebd01eecd7ff5c9fff54fdc1b05ea8941b3
Certificate Subject CN
- LLC Xenit
- Wuxi Weitai Nano Technology Co., Ltd.
Certificate Serial Number
- 5631DCB283EC62ED3B96E8BE
- 5F36FF3EFCF0620ED7D1FD6C
Certificate Thumbprint
- C519277F61B1BE886D187A0C2E7909D694933250
- DAD62095A80EEA1E6DECF91F957E59BA562B27A1