Latrodectus 악성 코드

보안 분석가들은 Latrodectus라는 새로운 악성 코드를 발견했습니다. 이 악성 코드는 적어도 2023년 11월 말부터 이메일 피싱 활동을 통해 유포되었습니다. Latrodectus는 페이로드를 가져오고 임의 명령을 실행하도록 세심하게 제작된 다양한 샌드박스 회피 기능을 갖춘 신흥 다운로더로 두각을 나타냅니다.

악명 높은 IcedID 악성 코드의 제작자가 Latrodectus 개발의 배후에 있을 가능성이 있음을 암시하는 징후가 있습니다. 이 다운로더는 초기 액세스 브로커(IAB)에서 다른 악성 소프트웨어의 배포를 간소화하기 위해 사용됩니다.

Latrodectus는 주로 TA577(Water Curupira라고도 함) 및 TA578로 식별되는 두 개의 별개의 IAB와 연관되어 있습니다. 참고로 TA577은 QakBot 과 PikaBot 의 확산에도 연루되어 있습니다.

Latrodectus는 기존 악성 코드 위협을 대체할 수 있습니다.

2024년 1월 중순까지 Latrodectus는 이메일 기반 위협 캠페인에서 TA578에 의해 주로 활용되었으며, 종종 DanaBot 감염을 통해 전파되었습니다. 최소 2020년 5월부터 알려진 배우인 TA578은 Ursnif , IcedID , KPOT Stealer, Buer Loader , BazaLoader, Cobalt Strike 및 Bumblebee를 배포하는 다양한 이메일 캠페인과 관련되어 있습니다.

공격 시퀀스에는 웹사이트 문의 양식을 악용하여 대상 조직에 저작권 침해에 관한 법적 위협을 보내는 것이 포함됩니다. 이러한 메시지에 포함된 링크는 수신자를 사기성 웹사이트로 리디렉션하여 msiexec를 통해 기본 페이로드를 시작하는 JavaScript 파일을 다운로드하라는 메시지를 표시합니다.

Latrodectus는 시스템 데이터를 암호화하여 명령 및 제어 서버(C2)에 전달하여 봇 다운로드 요청을 시작합니다. 봇이 C2와 접촉을 설정하면 C2로부터 명령을 요청합니다.

Latrodectus 악성 코드는 수많은 침입 명령을 수행할 수 있습니다.

이 악성코드는 Windows 10 이상을 실행하는 시스템에서 유효한 MAC 주소와 최소 75개의 실행 프로세스가 있는지 확인하여 샌드박스 환경을 탐지하는 기능을 보유하고 있습니다.

IcedID와 마찬가지로 Latrodectus는 POST 요청을 통해 등록 세부 정보를 C2 서버로 전송하도록 프로그래밍되어 있으며, 여기서 필드는 HTTP 매개변수로 연결되고 암호화됩니다. 그 후, 서버로부터 추가 지시를 기다립니다. 이러한 명령은 악성코드가 파일 및 프로세스를 열거하고, 바이너리 및 DLL 파일을 실행하고, cmd.exe를 통해 임의의 명령을 실행하고, 봇을 업데이트하고, 실행 중인 프로세스를 종료할 수 있는 권한을 부여합니다.

공격자 인프라를 자세히 조사한 결과 초기 C2 서버가 2023년 9월 18일에 작동되기 시작한 것으로 나타났습니다. 이러한 서버는 2023년 8월경에 구축된 업스트림 Tier 2 서버와 상호 작용하도록 구성되었습니다.

Latrodectus와 IcedID 간의 연관성은 이전에 IcedID 작업에 연결된 점프 상자의 활용과 함께 IcedID에 연결된 백엔드 인프라와 T2 서버의 연결에서 분명합니다.

연구원들은 범죄 영역에서 재정적 동기를 지닌 위협 행위자, 특히 이전에 IcedID를 유포한 행위자에 의한 Latrodectus 사용이 급증할 것으로 예상합니다.