Latrodectus 恶意软件在网络钓鱼活动中传播

威胁调查人员发现了一种名为 Latrodectus 的新发现的恶意软件，该恶意软件至少自 2023 年 11 月下旬以来就通过电子邮件网络钓鱼活动进行传播。

Proofpoint 和 Team Cymru 的研究人员在最近的联合分析中概述称，Latrodectus 是一种新兴的下载器，具有多种功能以逃避沙盒环境中的检测，其设计目的是获取有效载荷并执行命令。

有迹象表明，Latrodectus 的创建者很可能就是开发 IcedID 恶意软件的同一伙人。初始访问代理 (IAB) 会利用此下载程序来简化其他恶意软件的部署。

Latrodectus 与两起 APT 事件有关

Latrodectus 主要与两种不同的 IAB 有关，即 TA577（也称为 Water Curupira）和 TA578。TA577 之前曾与 QakBot 和 PikaBot 的传播有关。

截至 2024 年 1 月中旬，Latrodectus 主要被 TA578 用于电子邮件威胁活动，有时通过 DanaBot 感染传播。

TA578 自 2020 年 5 月起开始运营，参与了传播各种恶意软件的电子邮件活动，例如 Ursnif、IcedID、KPOT Stealer、Buer Loader、BazaLoader、Cobalt Strike 和 Bumblebee。

渗透方式

攻击方法通常涉及使用网站上的联系表格向目标实体发送与涉嫌侵犯版权相关的法律威胁。嵌入的链接将收件人引导至欺骗性网站，诱使他们下载负责使用 msiexec 启动主要有效载荷的 JavaScript 文件。

感染后，Latrodectus 会向其命令和控制服务器 (C2) 发送加密的系统信息并请求下载该机器人。在向 C2 注册后，它会等待来自服务器的命令。

Latrodectus 能够通过验证有效 MAC 地址和运行 Windows 10 或更新版本的系统上足够数量的正在运行的进程来检测沙盒环境。

与 IcedID 类似，Latrodectus 通过 POST 请求向 C2 服务器提交注册信息，数据经过加密并连接 HTTP 参数。然后等待服务器的进一步指令。

发送给 Latrodectus 的命令允许它枚举文件和进程、执行二进制文件和 DLL 文件、通过 cmd.exe 执行任意指令、更新自身以及终止正在运行的进程。

对攻击者基础设施的进一步调查显示，初始 C2 服务器于 2023 年 9 月 18 日开始活跃，并与 2023 年 8 月左右建立的上游 Tier 2 服务器进行通信。

Latrodectus 和 IcedID 之间的联系显而易见，因为 Tier 2 服务器与链接到 IcedID 的后端基础设施保持连接，并使用先前与 IcedID 操作相关联的跳转盒。