フィッシング キャンペーンで配布された Latrodectus マルウェア
脅威調査員は、少なくとも2023年11月下旬から電子メールフィッシングキャンペーンを通じて配布されている、新たに特定されたLatrodectusというマルウェアを発見しました。
サンドボックス環境での検出を回避するための複数の機能を備えた新興のダウンローダーとして説明されている Latrodectus は、Proofpoint と Team Cymru の研究者による最近の共同分析で概説されているように、ペイロードを取得してコマンドを実行するように設計されています。
Latrodectus の作成者は、IcedID マルウェアの開発に関与した人物と同じ人物である可能性が高いことを示唆する兆候があります。このダウンローダーは、初期アクセス ブローカー (IAB) によって、追加のマルウェアの展開を効率化するために使用されています。
Latrodectus は 2 つの APT にリンクされています
Latrodectus は主に、TA577 (Water Curupira とも呼ばれる) および TA578 として知られる 2 つの異なる IAB と関連しています。TA577 は、以前 QakBot および PikaBot の拡散と関連付けられていました。
2024 年 1 月中旬現在、Latrodectus は主に TA578 による電子メール脅威キャンペーンで利用されており、DanaBot 感染によって送信されることもあります。
TA578 は少なくとも 2020 年 5 月から活動しており、Ursnif、IcedID、KPOT Stealer、Buer Loader、BazaLoader、Cobalt Strike、Bumblebee などのさまざまなマルウェアを配信する電子メール キャンペーンに関与しています。
侵入方法
攻撃手法としては通常、ウェブサイトの連絡フォームを使用して、標的の組織に著作権侵害の疑いに関する法的脅迫を送信します。埋め込まれたリンクは受信者を偽のウェブサイトに誘導し、msiexec を使用してメインのペイロードを開始する JavaScript ファイルをダウンロードするように誘導します。
感染すると、Latrodectus は暗号化されたシステム情報をコマンド アンド コントロール サーバー (C2) に送信し、ボットのダウンロードを要求します。C2 に登録した後、サーバーからのコマンドを待機します。
Latrodectus は、Windows 10 以降を実行しているシステム上で有効な MAC アドレスと十分な数の実行中のプロセスが存在することを確認することで、サンドボックス環境を検出する機能を備えています。
IcedID と同様に、Latrodectus は登録情報を暗号化し、HTTP パラメータを連結したデータを POST リクエスト経由で C2 サーバーに送信します。その後、サーバーからのさらなる指示を待ちます。
Latrodectus に発行されるコマンドにより、ファイルとプロセスの列挙、バイナリと DLL ファイルの実行、cmd.exe 経由の任意のディレクティブの実行、自身の更新、実行中のプロセスの終了が可能になります。
攻撃者のインフラストラクチャをさらに調査すると、最初の C2 サーバーが 2023 年 9 月 18 日にアクティブになり、2023 年 8 月頃に確立された上流の Tier 2 サーバーと通信していたことが明らかになりました。
Latrodectus と IcedID の関係は、Tier 2 サーバーが IcedID にリンクされたバックエンド インフラストラクチャとの接続を維持し、以前は IcedID 操作に関連付けられていたジャンプ ボックスを使用していることから明らかです。