Lunar Spider: вторжение с Brute Ratel и Latrodectus

Lunar Spider: вторжение с Brute Ratel и Latrodectus

В мае 2024 года зафиксировано масштабное вторжение, приписываемое злоумышленнику Lunar Spider. По данным отчета, компрометация началась с открытия пользователем вредоносного JavaScript‑файла, замаскированного под налоговую форму. Дальнейшая цепочка активности демонстрирует скоординированное использование «готовых» и кастомных инструментов для закрепления в среде, горизонтального перемещения и систематической эксфильтрации конфиденциальной информации в течение почти двух месяцев.

Ключевые этапы атаки

  • Изначальный вектор: вредоносный JavaScript, который загружал установщик MSI.
  • Развертывание шлюзового ПО: MSI разворачивал DLL Brute Ratel, запущенный через Windows утилиту rundll32.
  • Загрузка вредоноса Latrodectus: загрузчик Brute Ratel внедрил Latrodectus в процесс explorer.exe, обеспечив связь с несколькими доменами C2.
  • Быстрая разведка: примерно через час после начального доступа злоумышленники запустили встроенные Windows‑команды для перечисления хостов и доменов.
  • Получение удалённого доступа: установка сеанса обратного подключения через VNC, доступ к файлу unattend.xml и извлечение учетных данных администратора домена в открытом виде.
  • Эскалация привилегий и латеральное перемещение: использование полученных учётных записей для развертывания Cobalt Strike beacons и распространения по сети с помощью PsExec.
  • Эксплуатация уязвимостей: в кампании применялся эксплойт Zerologon (CVE-2020-1472) и техники UAC bypass.
  • Длительная активность и эксфильтрация: почти два месяца периодических C2‑сессий и кражи данных через Rclone и FTP в облачные хранилища, контролируемые актором.
  • Кастомный бекдор и другие инструменты: развернут network backdoor с именем lsassa.exe, который регулярно отправлял системные данные на C2.

Использованные инструменты и техники

  • JavaScript (вредоносный файл), MSI, rundll32
  • Brute Ratel, Latrodectus, Cobalt Strike
  • Обходы защиты: внедрение кода в процесс, UAC bypass
  • Латеральное перемещение: PsExec, эксплуатация Zerologon (CVE-2020-1472)
  • Сбор учётных данных: фокус на LSASS, резервная ПО и браузеры, попытки получить данные из Veeam
  • Экфильтрация: Rclone, FTP
  • Механизмы закрепления: ключи Run в реестре, запланированные задачи, постоянные загрузчики

Методы уклонения и препятствия для расследования

Злоумышленники активно применяли запутывающие команды и техники для уменьшения заметности активности и осложнения судебно‑медицинского анализа. Набор приёмов включал:

  • обфускацию команд и скриптов;
  • удаление файлов и логов для затруднения восстановления цепочки событий;
  • мультидоменные, спрямленные шаблоны C2, чтобы затруднить блокировку инфраструктуры управления;
  • инжекцию кода в доверенные процессы (explorer.exe) для скрытого выполнения.

«Примечательно, что, несмотря на всесторонний доступ к критически важной инфраструктуре, во время этого масштабного вторжения не было никаких признаков развертывания программ‑вымогателей.»

Почему это особенно опасно

Несколько факторов делают инцидент критичным для организаций:

  • компрометация резервных систем и контроллеров домена дает злоумышленнику возможность подорвать доступность и целостность инфраструктуры;
  • извлечение учетных данных домена и использование Cobalt Strike увеличивает риск дальнейших атак у других пострадавших;
  • скрытая длительная эксфильтрация с помощью Rclone указывает на целенаправленную добычу интеллектуальной собственности и конфиденциальных данных;
  • отсутствие вымогательства сегодня не означает, что украденные данные не будут использованы или проданы в будущем.

Рекомендации для защиты и реагирования

  • Немедленно проверить и, при необходимости, сбросить учетные записи с привилегиями, особенно те, которые могли быть выведены из unattend.xml или систем резервного копирования (Veeam).
  • Защитить и сегментировать резервные копии; хранить их в офлайн‑режиме и ограничить доступ административными политиками.
  • Обновить и задеплоить исправления против Zerologon (CVE-2020-1472) и других известных уязвимостей.
  • Настроить мониторинг на аномалии: запуск rundll32 с нестандартными параметрами, активности PsExec, массовые соединения VNC, необычная работа Rclone и FTP‑трафик к незнакомым облачным хостам.
  • Включить защиту LSASS (Credential Guard, LSA protection), запрет дампов памяти LSASS и мониторинг попыток доступа к процессу LSASS.
  • Проверить и заблокировать нежелательные регулярные задачи и ключи Run в реестре; восстановить файловые и логовые копии для судебного анализа.
  • Подготовить план инцидент‑респонса: форензика, изоляция заражённых хостов, анализ IoC, общение с правоохранительными органами и обмен информацией с коллегами по отрасли.

Вывод: кампания демонстрирует зрелую, целенаправленную модель поведения злоумышленников: быстрое получение доступа, надежное закрепление, систематический сбор учётных данных и длительная эксфильтрация конфиденциальной информации при сознательном стремлении минимизировать немедленное обнаружение. Даже при отсутствии проявлений ransom‑деятельности организации должны считать такую активность критической и принимать меры по защите и реагированию незамедлительно.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: