Latrodectus
Latrodectusは、新しいダウンローダー型マルウェアです。
どんなものでしょうか。
- 活動開始時期
Latrodectusの活動は、少なくとも2023年11月頃には観測されています。
その後、一度活動が鈍化する状態が確認されましたが、再度、動作が活発になっています。 - 複数の脅威アクターが利用
どのくらいの脅威アクターが実際に使用しているのかはわかりませんが、現時点で2つの脅威アクターが使用していることが確認されています。
1つはTA577で、もう一つはTA578です。
いずれもメール送信から攻撃を開始する手法を選択している脅威アクターです。
TA577は、Qbot, IcedID, SystemBC, SmokeLoader, Ursnif, Cobalt Strikeをペイロードとします。
TA578は、Ursnif, IcedID, KPOT Stealer, Buer Loader, BazaLoader, Cobalt Strikeをペイロードとします。
使用するツールがとても似ています。 - 回避機能
Latrodectusは回避機能を搭載しています。
Windows API関数利用するのですが、利用時にそのまま呼び出すのではなく、ハッシュによって動的に解決することによって検出を回避しようとします。
また動作環境でデバッガが動作しているかを確認してから動作するような機構も搭載しています。
収集した感染システムの情報を外部に送信する際には、データを暗号化して送信します。
そして、動作環境がサンドボックスであるのかどうかを検出する目的で、環境のプロセス数やホストに有効なMACアドレスがあるかどうかを確認します。 - 新しい実装
研究者の解析によると、Latrodectusのコードは新しい実装であると考えられています。
しかし、そのデザインのなかにはIcedIDに共通する部分も確認されています。
研究者の推測では、IcedIDの開発者がなんらかの形でLatrodectusに関わっていると考えられています。 - 重複するC2インフラ
LatrodectusはC2と連携して動作するマルウェアです。
階層化されたC2と連携動作するのですが、その一部に従来IcedIDの活動で利用されていたC2が存在することが確認されています。
Latrodectusの攻撃チェーンは、Webサイト上の問い合わせフォームを利用して、著作権侵害の疑いに関する法的脅迫を標的の組織に送ります。
メッセージのなかに埋め込まれたリンクは、受信者を偽のWebサイトに誘導し、msiexecを使用してペイロードを起動するためのJavaScriptファイルをダウンロードさせようとします。
IcedIDを使っていた脅威アクターにとって、類似性の高さからLatrodectusは都合の良い乗り換え先となってしまうのかもしれません。
次はLatrodectusの活動が広がってしまうのでしょうか。
参考記事(外部リンク):Latrodectus: This Spider Bytes Like Ice
www.proofpoint.com/us/blog/threat-insight/latrodectus-spider-bytes-ice
