В октябре 2023 года исследователи кибербезопасности впервые обнаружили новый бэкдор под названием BLACKWIDOW, также известный как Latrodectus, Unidentified 111 или Lotus. Этот вредоносный инструмент, написанный на языке C, использует протокол HTTP для взаимодействия с командными серверами, при этом все передаваемые данные шифруются с помощью алгоритма RC4.
Описание
BLACKWIDOW обладает широким функционалом, что делает его крайне опасным для корпоративных и частных пользователей. Вредонос способен собирать информацию о зараженной системе, выполнять произвольные команды, обновлять себя, а также загружать и запускать исполняемые файлы (EXE), динамические библиотеки (DLL) или шелл-код. Это позволяет злоумышленникам не только красть конфиденциальные данные, но и расширять контроль над зараженными устройствами, подключая дополнительные модули для проведения более сложных атак.
Эксперты предполагают, что за созданием BLACKWIDOW стоит киберпреступная группировка LUNAR SPIDER, которая ранее разработала печально известный банковский троянец IcedID (также известный как BokBot). Это указывает на то, что злоумышленники продолжают совершенствовать свои инструменты, делая их более скрытными и функциональными.
Особую опасность представляет метод шифрования трафика с помощью RC4. Хотя этот алгоритм считается устаревшим и уязвимым для некоторых атак, его использование в BLACKWIDOW затрудняет обнаружение вредоносной активности стандартными системами защиты. Кроме того, бэкдор может маскировать свои HTTP-запросы под легитимный трафик, что усложняет его идентификацию в корпоративных сетях.
Специалисты по кибербезопасности рекомендуют организациям усилить мониторинг сетевой активности, особенно необычных HTTP-соединений, а также регулярно обновлять антивирусные решения и системы обнаружения вторжений. Пользователям советуют избегать подозрительных ссылок и вложений в электронных письмах, так как BLACKWIDOW, вероятно, распространяется через фишинговые кампании или эксплойт-киты.
На данный момент точные масштабы заражения остаются неизвестными, но учитывая связь с LUNAR SPIDER, можно предположить, что атаки нацелены на финансовый сектор и крупные предприятия. Исследователи продолжают изучать поведение бэкдора, чтобы разработать эффективные методы защиты. В ближайшее время ожидается публикация более детального технического анализа BLACKWIDOW, который поможет сообществу кибербезопасности лучше понять его механизмы работы и способы противодействия.
Индикаторы компрометации
URLs
- https://9868svhbb.cc.rs6.net/tn.jsp?f=001pQlqWP8vaXV4aG0PE0aJhR7qMp-y7QQ9aLddg_tiU-SGuAVegGNlwmUKf7n2BZxhvH1UFBNwTD2gGNNRp8gUIpi4GJV-Su4B6A80cT3Bam0tPQmPxc6M55lfrKsW3mfQcyMtCvdLQWuUmdALnkVqft-sOqzvD9rnz6IBZ9B4uks=&c=nuXvRzdb81YLiTPND8Chubz3dbkluZL9ybxULnFp_k7muzUkEw7pOA==&ch=_6mPh369J9K_xdE7FDSBNnME7QAyOrHF4pV_u3KKf31TumRhuaKClQ==&CDJq1r9ZH6EZJ44=JI6H73XgXm9aVrFAM
- https://dimidroli.com:4994/pacana.php
- https://dimidroli.com:4994/slovo.php
- https://domskufidona.com:4994/pacana.php
- https://firebasestorage.googleapis.com/v0/b/long-velocity-435814-j9.appspot.com/o/q6zrQ7uHym%2FDoc153453.js?alt=media&token=f30c3cbc-b41c-4809-8e37-88517e35a9b3
- https://forefilarem.com/test/
- https://horetimodual.com/test/
- https://intellisense.live/gerda.php
- https://intellisense.live/mi.php
- https://slnonline.verlnline.biz/ne0don58/
SHA256
- 02b83296fb393ad6afda7cc664f43367475281fa3e19a4a9e985ed028565a7ce
- 2705484648e840fd63cbf1e79821bc3372340a87e14e3f5a4ac1330a9582125f
- 6ee349407b695640cb94f9b1b3845efb83b5210b582a54b0f1709ddf35357979
- a2b6c78a9b4883788a709cbe25004cff057a319aec09671f7afda6f8f3d553cc