02/10/25
По данным аналитиков THE DFIR Report, вредоносная кампания стартовала в мае 2024 года, когда сотрудник неназванной организации открыл обфусцированный JavaScript-файл, замаскированный под налоговую форму. Скрипт внутри файла загрузил MSI-пакет, который через штатную утилиту Windows rundll32 внедрил библиотеку Brute Ratel, пишет Securitylab.
В результате злоумышленникам удалось развернуть вредонос Latrodectus, внедрив его в процесс explorer.exe и установив связь с C2-серверами, скрытыми за прокси CloudFlare. Уже в первый час работы вредонос загрузил модуль-инфостилер, способный извлекать учётные данные.
Latrodectus ранее уже показал широкие возможности: он атаковал 29 браузеров на базе Chromium, включая Chrome, Edge, Vivaldi и Яндекс.Браузер, а также отдельно обрабатывал профили Firefox, выгружая файлы cookies.sqlite. Дополнительно вредонос получал данные Microsoft Outlook (версии 11.0–17.0), обращаясь к системному реестру для извлечения конфигураций почтовых клиентов. В руки операторов попадали адреса SMTP, POP3, IMAP и NNTP-серверов, номера портов, имена пользователей и зашифрованные пароли.
На третий день злоумышленники обнаружили на машине файл unattend.xml, оставшийся от автоматизированной установки, который содержал пароли доменного администратора в открытом виде. Уже через сутки они запустили через BackConnect файл lsassa.exe, что моментально дало им привилегии доменного уровня и открыло путь к горизонтальному распространению в сети.
Для сокрытия присутствия Lunar Spider активно использовали внедрение кода в легитимные процессы Windows, такие как explorer.exe, sihost.exe и spoolsv.exe. Чтобы сохранить контроль даже после перезагрузки или частичной очистки, были настроены ключи автозагрузки в реестре и задания планировщика. В качестве каналов управления применялись сразу несколько фреймворков — Brute Ratel, Latrodectus и Cobalt Strike, что обеспечивало избыточность и устойчивость инфраструктуры.
Доступ к доменным ресурсам позволил атакующим запускать процессы от имени администратора, например gpupdate.exe, через sihost.exe. Почти три недели спустя они начали выгрузку файлов с серверов, применив переименованный Rclone для передачи данных по FTP. Экспорт продолжался около десяти часов. В общей сложности Lunar Spider удерживали доступ к сети около двух месяцев. При этом ни один случай развёртывания вымогательского ПО не зафиксирован: приоритет явно отдавался кражам данных, а не блокировке систем.
Эта операция подчёркивает высокий уровень организации группы: от многоступенчатой схемы проникновения и использования легитимного софта для маскировки до грамотного применения нескольких C2-каналов и поиска неочевидных точек эскалации. Всё это указывает на долгосрочную стратегию и ориентацию на сбор информации, а не разовое вымогательство.
