LUNAR SPIDER,一个以部署IcedID和Latrodectus等恶意软件而闻名的俄语网络犯罪组织,在2024年10月重新活跃。其最新活动利用搜索引擎优化中毒技术,将目标锁定在金融服务领域,诱导用户下载伪装成英伟达文件的恶意MSI安装程序,最终安装Brute Ratel C4恶意软件。该组织展现出强大的适应能力,并与其他网络犯罪组织如WIZARD SPIDER和ALPHV/BlackCat等存在合作关系,利用共享基础设施和重叠的指挥控制服务器来维持其活动。EclecticIQ的研究揭示了LUNAR SPIDER的战术、技术和程序,强调了安全团队建立有效检测和响应策略的重要性,以应对类似攻击。
🔎**LUNAR SPIDER组织的背景及活动:** LUNAR SPIDER是一个以部署IcedID和Latrodectus等恶意软件而闻名的俄语网络犯罪组织,其活动目标主要集中在经济利益上。在2024年10月,该组织在被执法部门破坏后重新开始运作,并采用更为复杂的技术手段规避侦查。该组织的活动范围广泛,与其他网络犯罪组织存在密切的合作关系,例如WIZARD SPIDER和ALPHV/BlackCat等,共同参与勒索软件活动。他们通过共享基础设施和重叠的指挥控制服务器来提升运营效率,并保持其在网络犯罪生态系统中的影响力。LUNAR SPIDER在网络犯罪生态系统中扮演着重要角色,其IcedID恶意软件为其他勒索软件操作者提供了初始访问权限,为后续的攻击行动奠定了基础。
🖥️**恶意广告活动及技术手段:** LUNAR SPIDER的最新恶意广告活动利用了搜索引擎优化中毒(SEO Poisoning)技术,该技术通过操纵搜索引擎结果来诱骗用户点击恶意链接。此次活动主要针对金融服务领域,尤其以税务相关内容为诱饵,将受害者重定向到一个下载混淆JavaScript文件的网站。该JavaScript文件会进一步获取一个伪装成合法英伟达文件的恶意MSI安装程序,最终在受害者系统中安装Brute Ratel C4恶意软件。这种攻击方式利用了用户对合法软件的信任,从而达到绕过安全防护的目的。Latrodectus下载器扮演了关键角色,负责将受害者引导至恶意软件下载链接。
🛡️**威胁分析及安全建议:** EclecticIQ利用MITRE ATT&CK分析工具对LUNAR SPIDER的战术、技术和程序(TTP)进行了分析,并绘制了其行为模式。通过这种分析,安全团队可以更清晰地了解LUNAR SPIDER的攻击手段,从而制定更有效的检测和响应策略。报告强调了这种分析方法的价值,因为它能够帮助安全团队提高对类似攻击的防御能力。EclecticIQ建议金融行业和其他行业的网络安全团队保持高度警惕,尤其要关注恶意广告和SEO中毒攻击,并加强对相关威胁的监控和防御。安全团队可以通过部署入侵检测系统、网络安全设备以及加强员工安全意识培训等措施来增强防御能力,降低遭受此类攻击的风险。
🤝**LUNAR SPIDER与其他组织的合作关系:** LUNAR SPIDER与其他网络犯罪组织之间存在着广泛的合作关系,例如TrickBot和Conti勒索软件背后的组织WIZARD SPIDER,以及ALPHV/BlackCat勒索软件的附属组织。这些组织之间通过共享基础设施和重叠的指挥控制服务器来协同运作,例如LUNAR SPIDER的Latrodectus和ALPHV的C2域都使用了相同的IP地址173[.]255[.]204[.]62。这种合作关系使得LUNAR SPIDER能够更加高效地开展恶意活动,并扩展其影响范围。这种合作模式也凸显了网络犯罪生态系统中组织之间的复杂关系,以及威胁行为者之间信息和资源的共享。
EclecticIQ威胁研究小组最近公布了一个新的恶意广告活动,该活动与臭名昭著的LUNAR SPIDER组织有关,LUNAR SPIDER组织是一个讲俄语、有经济动机的网络犯罪组织,以部署IcedID和Latrodectus等知名恶意软件家族而闻名。2024 年 10 月,LUNAR SPIDER 在被执法部门破坏一段时间后重新开始运作,利用复杂的技术躲避侦查,并在网络犯罪生态系统中保持其立足点。LUNAR SPIDER以在勒索软件活动中部署IcedID恶意软件而闻名,其最新战略是在攻击武器库中采用Brute Ratel C4(BRc4)。据 EclecticIQ 分析师称:“该行为者利用 Brute Ratel C4,显示出显著的适应能力和决心,在执法压力增大的情况下继续开展活动”。这标志着一个重大的战术转变,该组织现在依靠 Latrodectus 下载器来发送 Brute Ratel。这种恶意广告活动利用搜索引擎优化中毒(一种操纵搜索引擎结果以诱骗用户点击恶意链接的技术)。在本例中,Latrodectus 下载器以金融服务为目标,将搜索税务相关内容的受害者重定向到下载一个混淆的 JavaScript 文件。激活后,该文件会获取一个恶意 MSI 安装程序,伪装成合法的英伟达文件,最终在受害者系统中安装 Brute Ratel C4。Latrodectus 恶意软件的执行流程 | 图片: EclecticIQ报告指出:“这种对共享提供商和类似基础设施的一致使用,凸显了 LUNAR SPIDER 是如何在不同恶意软件家族中有效协调其恶意活动的。通过利用 200 多个恶意基础设施和重叠的指挥控制服务器,LUNAR SPIDER 可以高效地伪装和维持其活动。”LUNAR SPIDER 在网络犯罪生态系统中的影响非常广泛。有证据表明,它与其他组织进行了大量合作,其中包括 TrickBot 和 Conti 勒索软件背后的组织 WIZARD SPIDER,以及 ALPHV/BlackCat 勒索软件的附属组织。报告称,“LUNAR SPIDER 通过其 IcedID 恶意软件在网络犯罪生态系统中建立了重要联系”,该恶意软件为勒索软件操作员提供了初始访问权限。共享基础设施,如 LUNAR SPIDER 的 Latrodectus 和 ALPHV 的 C2 域使用的 IP 地址 173[.]255[.]204[.]62,说明了这些威胁行为者之间的协同运作。EclecticIQ 利用 MITRE ATT&CK 分析工具绘制了 LUNAR SPIDER 的战术、技术和程序 (TTP),这有助于了解威胁行动者的行为。报告强调了这种映射的价值: “通过了解这些技术,安全团队可以建立更有效的检测和响应策略,提高防范类似攻击的能力。”随着 LUNAR SPIDER 不断调整和扩大其影响范围,我们敦促金融行业和其他行业的网络安全团队保持警惕,尤其是对恶意广告和 SEO 中毒攻击保持警惕。
