Lunar Spider: вторжение с Brute Ratel и Latrodectus

В мае 2024 года зафиксировано масштабное вторжение, приписываемое злоумышленнику Lunar Spider. По данным отчета, компрометация началась с открытия пользователем вредоносного JavaScript‑файла, замаскированного под налоговую форму. Дальнейшая цепочка активности демонстрирует скоординированное использование «готовых» и кастомных инструментов для закрепления в среде, горизонтального перемещения и систематической эксфильтрации конфиденциальной информации в течение почти двух месяцев.
Ключевые этапы атаки
- Изначальный вектор: вредоносный JavaScript, который загружал установщик MSI.
- Развертывание шлюзового ПО: MSI разворачивал DLL Brute Ratel, запущенный через Windows утилиту rundll32.
- Загрузка вредоноса Latrodectus: загрузчик Brute Ratel внедрил Latrodectus в процесс explorer.exe, обеспечив связь с несколькими доменами C2.
- Быстрая разведка: примерно через час после начального доступа злоумышленники запустили встроенные Windows‑команды для перечисления хостов и доменов.
- Получение удалённого доступа: установка сеанса обратного подключения через VNC, доступ к файлу unattend.xml и извлечение учетных данных администратора домена в открытом виде.
- Эскалация привилегий и латеральное перемещение: использование полученных учётных записей для развертывания Cobalt Strike beacons и распространения по сети с помощью PsExec.
- Эксплуатация уязвимостей: в кампании применялся эксплойт Zerologon (CVE-2020-1472) и техники UAC bypass.
- Длительная активность и эксфильтрация: почти два месяца периодических C2‑сессий и кражи данных через Rclone и FTP в облачные хранилища, контролируемые актором.
- Кастомный бекдор и другие инструменты: развернут network backdoor с именем lsassa.exe, который регулярно отправлял системные данные на C2.
Использованные инструменты и техники
- JavaScript (вредоносный файл), MSI, rundll32
- Brute Ratel, Latrodectus, Cobalt Strike
- Обходы защиты: внедрение кода в процесс, UAC bypass
- Латеральное перемещение: PsExec, эксплуатация Zerologon (CVE-2020-1472)
- Сбор учётных данных: фокус на LSASS, резервная ПО и браузеры, попытки получить данные из Veeam
- Экфильтрация: Rclone, FTP
- Механизмы закрепления: ключи Run в реестре, запланированные задачи, постоянные загрузчики
Методы уклонения и препятствия для расследования
Злоумышленники активно применяли запутывающие команды и техники для уменьшения заметности активности и осложнения судебно‑медицинского анализа. Набор приёмов включал:
- обфускацию команд и скриптов;
- удаление файлов и логов для затруднения восстановления цепочки событий;
- мультидоменные, спрямленные шаблоны C2, чтобы затруднить блокировку инфраструктуры управления;
- инжекцию кода в доверенные процессы (explorer.exe) для скрытого выполнения.
«Примечательно, что, несмотря на всесторонний доступ к критически важной инфраструктуре, во время этого масштабного вторжения не было никаких признаков развертывания программ‑вымогателей.»
Почему это особенно опасно
Несколько факторов делают инцидент критичным для организаций:
- компрометация резервных систем и контроллеров домена дает злоумышленнику возможность подорвать доступность и целостность инфраструктуры;
- извлечение учетных данных домена и использование Cobalt Strike увеличивает риск дальнейших атак у других пострадавших;
- скрытая длительная эксфильтрация с помощью Rclone указывает на целенаправленную добычу интеллектуальной собственности и конфиденциальных данных;
- отсутствие вымогательства сегодня не означает, что украденные данные не будут использованы или проданы в будущем.
Рекомендации для защиты и реагирования
- Немедленно проверить и, при необходимости, сбросить учетные записи с привилегиями, особенно те, которые могли быть выведены из unattend.xml или систем резервного копирования (Veeam).
- Защитить и сегментировать резервные копии; хранить их в офлайн‑режиме и ограничить доступ административными политиками.
- Обновить и задеплоить исправления против Zerologon (CVE-2020-1472) и других известных уязвимостей.
- Настроить мониторинг на аномалии: запуск rundll32 с нестандартными параметрами, активности PsExec, массовые соединения VNC, необычная работа Rclone и FTP‑трафик к незнакомым облачным хостам.
- Включить защиту LSASS (Credential Guard, LSA protection), запрет дампов памяти LSASS и мониторинг попыток доступа к процессу LSASS.
- Проверить и заблокировать нежелательные регулярные задачи и ключи Run в реестре; восстановить файловые и логовые копии для судебного анализа.
- Подготовить план инцидент‑респонса: форензика, изоляция заражённых хостов, анализ IoC, общение с правоохранительными органами и обмен информацией с коллегами по отрасли.
Вывод: кампания демонстрирует зрелую, целенаправленную модель поведения злоумышленников: быстрое получение доступа, надежное закрепление, систематический сбор учётных данных и длительная эксфильтрация конфиденциальной информации при сознательном стремлении минимизировать немедленное обнаружение. Даже при отсутствии проявлений ransom‑деятельности организации должны считать такую активность критической и принимать меры по защите и реагированию незамедлительно.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



