Аналитики EclecticIQ в октябре 2024 года обнаружили вредоносную рекламную кампанию, связанную с группой злоумышленников LUNAR SPIDER.
Lunar Spider APT
Эта кампания использовала обфусцированный JavaScript-загрузчик Latrodectus для доставки вредоносной полезной нагрузки BRc4. Проанализировав данные, аналитики пришли к выводу, что LUNAR SPIDER вероятно связана с русскоязычной финансово мотивированной группой злоумышленников, известной как LUNAR SPIDER, которая действует уже несколько лет. Группа ответственна за разработку нескольких известных семейств вредоносных программ, включая IcedID и Latrodectus. Последние кампании группы LUNAR SPIDER демонстрируют их адаптивность и решимость продолжать деятельность, несмотря на давление правоохранительных органов.
В мае 2024 года ФБР и их партнеры провели операцию "Эндшпиль", уничтожив командно-контрольные инфраструктуры нескольких вредоносных программ, включая IcedID, Smokeloader, Pikabot и Bumblebee. Однако, несмотря на это, аналитики EclecticIQ с уверенностью утверждают, что LUNAR SPIDER возобновила свою деятельность и продолжает использовать брутфорс C4 для своих кампаний.
Аналитики также отмечают, что утечка сообщений группы Conti, опубликованная в 2022 году, раскрыла связи между LUNAR SPIDER и другими группами злоумышленников, включая WIZARD SPIDER, ответственную за вредоносное ПО TrickBot и Conti Ransomware-as-a-Service (RaaS). Сотрудничество между этими группами помогает им в проведении кампаний по распространению вымогательского ПО.
Центральная фигура группы LUNAR SPIDER был арестован в 2022 году, однако группа продолжает свою деятельность, адаптируясь к изменениям и действиям правоохранительных органов. Аналитики также обнаружили связи LUNAR SPIDER с другими группами злоумышленников, включая Nemty и TA2101, которые использовали вредоносное ПО IcedID для доступа в системы жертв. Группа LUNAR SPIDER также сменила тактику и перешла к использованию вредоносного ПО Latrodectus и Brute Ratel C4.
Аналитики отмечают, что группа LUNAR SPIDER использует более 200 вредоносных инфраструктур, связанных с семействами вредоносных программ IcedID и Latrodectus. Это свидетельствует о том, что группа координирует свою деятельность в рамках различных семейств вредоносного ПО. Группа также стала более скрытной в своих атаках и обнаружена в целях финансовых служб. Аналитики продолжают отслеживать развитие группы LUNAR SPIDER и их связи с другими группами разработчиков вымогательского ПО.
Indicators of Compromise
Domains
- bazarunet.com
- eniloramesta.com
- greshunka.com
- isomicrotich.com
- obobobo.com
- opewolumeras.com
- peronikilinfer.com
- restoreviner.com
- rilomenifis.com
- sosachwaffen.com
- tiguanin.com
URLs
- http://188.119.112.7/das.msi
- http://188.119.113.152/CITROEN.msi
- http://193.32.177.192/vpn.msi
- http://45.14.244.124/dsa.msi
- http://95.164.17.212/BEST.msi
- https://188.119.112.115/DLPAgent.msi
- https://grupotefex.com/forms-pubs/about-form-w-4/?msclkid=275de1ee6e9c11cb920c879bf6a21339
- https://qasertol.club/forms-pubs/about-form-w-2/?msclkid=58393294f21c1006efe854eff1b652d5
SHA256
- 1b9e17bfbd292075956cc2006983f91e17aed94ebbb0fb370bf83d23b14289fa
- 28f5e949ecad3606c430cea5a34d0f3e7218f239bcfa758a834dceb649e78abc
- 29549b75a198ad3aee4f8b9ea328bc9a73eb0e0d07e36775438bbe7268d453f9
- 6dabcf67c89c50116c4e8ae0fafb003139c21b3af84e23b57e16a975b7c2341f
- 937d07239cbfee2d34b7f1fae762ac72b52fb2b710e87e02fa758f452aa62913
- c3f8ebc9cfb7ebe1ebbe3a4210753b271fecf73392fef98519b823a3e7c056c7
- ea1792f689bfe5ad3597c7f877b66f9fcf80d732e5233293d52d374d50cab991
- fb242f64edbf8ae36a4cf5a80ba8f21956409b448eb0380949bb9152373db981
