Latrodectus マルウェア

セキュリティアナリストは、少なくとも2023年11月下旬からメールフィッシング攻撃を通じて広まっている、Latrodectusと呼ばれる新しいマルウェアを発見しました。Latrodectusは、多様なサンドボックス回避機能を備えた新興のダウンローダーとして際立っており、ペイロードを取得して任意のコマンドを実行するように細心の注意を払って作成されています。

悪名高いIcedIDマルウェアの作成者が Latrodectus の開発の背後にいる可能性を示唆する兆候があります。このダウンローダーは、初期アクセス ブローカー (IAB) によって、他の悪意のあるソフトウェアの展開を効率化するために使用されています。

Latrodectus は主に、TA577 (別名 Water Curupira) および TA578 として識別される 2 つの異なる IAB と関連しています。注目すべきことに、TA577 はQakBotおよびPikaBotの拡散にも関与していることが示唆されています。

Latrodectus が古いマルウェアの脅威に取って代わる可能性

2024 年 1 月中旬までに、Latrodectus は主に TA578 による電子メールベースの脅威キャンペーンで利用され、多くの場合、 DanaBot感染を通じて拡散されました。少なくとも 2020 年 5 月以降に知られているアクターである TA578 は、 Ursnif 、 IcedID 、 KPOT Stealer、 Buer Loader 、BazaLoader、 Cobalt Strike 、 Bumblebeeを配布するさまざまな電子メールキャンペーンに関連付けられています。

攻撃シーケンスには、Web サイトの問い合わせフォームを悪用して、標的の組織に著作権侵害を主張する法的脅迫を送信することが含まれます。これらのメッセージに埋め込まれたリンクは、受信者を偽の Web サイトにリダイレクトし、msiexec を介して主要なペイロードを開始する JavaScript ファイルをダウンロードするように促します。

Latrodectus はシステム データを暗号化してコマンド アンド コントロール サーバー (C2) に転送し、ボットのダウンロード要求を開始します。ボットが C2 との接続を確立すると、そこからコマンドを要求します。

Latrodectusマルウェアは多数の侵入コマンドを実行する可能性がある

このマルウェアは、Windows 10 以降を実行しているシステム上で有効な MAC アドレスと少なくとも 75 の実行中のプロセスが存在することを確認することで、サンドボックス環境を検出する機能を備えています。

IcedID と同様に、Latrodectus は登録の詳細を POST リクエスト経由で C2 サーバーに送信するようにプログラムされており、フィールドは HTTP パラメータに連結され、暗号化されます。その後、サーバーからのさらなる指示を待機します。これらのコマンドにより、マルウェアはファイルとプロセスを列挙し、バイナリと DLL ファイルを実行し、cmd.exe 経由で任意のディレクティブを発行し、ボットを更新し、実行中のプロセスを終了できます。

攻撃者のインフラストラクチャをさらに精査すると、最初の C2 サーバーが 2023 年 9 月 18 日に運用を開始したことが明らかになりました。これらのサーバーは、2023 年 8 月頃に確立された上流の Tier 2 サーバーと対話するように構成されています。

Latrodectus と IcedID の関連性は、T2 サーバーと IcedID にリンクされたバックエンド インフラストラクチャの接続、および以前 IcedID 操作に関連付けられていたジャンプ ボックスの利用から明らかです。

研究者たちは、犯罪分野における金銭目的の脅威アクター、特に以前にIcedIDを配布した人々によるLatrodectusの使用が急増すると予想しています。