Endgame adlı koordineli bir kolluk kuvvetleri operasyonu sonrasında aksaklıklar yaşayan iki kötü amaçlı yazılım ailesi, yeni kimlik avı kampanyalarının bir parçası olarak yeniden ortaya çıktı.
Her ikisi de kötü amaçlı yazılım yükleyicileri olan Bumblebee ve Latrodectus, güvenliği ihlal edilmiş ana bilgisayarlara ek yükler indirip çalıştırmanın yanı sıra kişisel verileri çalmak üzere tasarlanmıştır.
BlackWidow, IceNova, Lotus veya Unidentified 111 isimleri altında takip edilen Latrodectus’un da iki kötü amaçlı yazılım ailesi arasındaki altyapı çakışmaları nedeniyle IcedID’nin halefi olduğu değerlendiriliyor. TA577 (aka Water Curupira) ve TA578 olarak bilinen iki ilk erişim komisyoncusu (IAB) ile ilişkili kampanyalarda kullanılmıştır.
Mayıs 2024’te Avrupa ülkelerinden oluşan bir koalisyon, IcedID (ve buna bağlı olarak Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee ve TrickBot gibi çeşitli kötü amaçlı yazılım türleriyle bağlantılı 100’den fazla sunucuyu çökerttiğini söyledi.
Bitsight güvenlik araştırmacısı João Batista, “Operasyonda Latrodectus’tan bahsedilmese de o da etkilendi ve altyapısı çevrimdışı oldu.” not edildi Haziran 2024’te.
Siber güvenlik firması Trustwave, bu ayın başlarında yayınlanan bir analizde Latrodectus’u, Endgame Operasyonu sonrasında artış gösteren “belirgin bir tehdit” olarak tanımladı.
Siber güvenlik şirketi, “Başlangıçta etkilenmiş olsa da Latrodectus hızla toparlandı. Gelişmiş yetenekleri, engelli muadillerinin bıraktığı boşluğu doldurarak kendisini zorlu bir tehdit haline getirdi.” söz konusu.
Saldırı zincirleri genellikle kötü amaçlı spam kampanyalarından yararlanır, ele geçirilen e-posta dizilerinden yararlanır ve kötü amaçlı yazılım dağıtım sürecini etkinleştirmek için Microsoft Azure ve Google Cloud gibi meşru varlıkların kimliğine bürünür.
Yeni gözlemlenen enfeksiyon dizisi Güç noktası Ve Günlük noktası Kötü amaçlı bir bağlantı içeren PDF ekleri veya sırasıyla bir MSI yükleyicisini ve bir PowerShell betiğini indirmek üzere tasarlanmış gömülü JavaScript kodu içeren HTML dosyalarını taşıyan DocuSign temalı e-posta iletileriyle aynı yolu izler.
Kullanılan yöntem ne olursa olsun, saldırı, kötü amaçlı bir DLL dosyasının yayılmasıyla sonuçlanır ve bu dosya da Latrodectus kötü amaçlı yazılımını başlatır.
Forcepoint araştırmacısı Mayur Sewani, “Latrodectus, finans, otomotiv ve iş sektörlerine yönelik yeni, yenilikçi kötü amaçlı yazılım yükü dağıtım yöntemiyle birlikte eski altyapıdan yararlanıyor” dedi.
Devam eden Latrodectus kampanyaları, dağıtım mekanizması olarak muhtemelen kimlik avı e-postaları yoluyla indirilen bir ZIP arşiv dosyasını kullanan Bumblebee yükleyicinin geri dönüşüyle örtüşüyor.
Netskope araştırmacısı “ZIP dosyası ‘Report-41952.lnk’ adında bir LNK dosyası içeriyor ve bu dosya yürütüldüğünde, bellekteki son Bumblebee yükünü indirip yürütmek için bir olaylar zinciri başlatıyor ve DLL’yi diske yazma ihtiyacını ortadan kaldırıyor.” Leandro Fróes söz konusu.
LNK dosyasının, uzak bir sunucudan bir MSI yükleyicisini indirmek için bir PowerShell komutunu yürütmesi amaçlanmıştır. Bir kez başlatıldığında, NVIDIA ve Midjourney’in yükleyicileri gibi görünen MSI örnekleri, Bumblebee DLL’yi başlatmak için bir kanal görevi görüyor.
Fróes, “Bumblebee, diğer süreçlerin oluşturulmasını önlemek için daha gizli bir yaklaşım kullanıyor ve son veri yükünü diske yazmaktan kaçınıyor” dedi.
“Bunu kullanarak yapar SelfReg bir dosyada bulunan DllRegisterServer dışa aktarma işlevinin yürütülmesini zorlamak için tablo Dosya masa. SelfReg tablosundaki giriş, Dosya tablosunda hangi dosyanın yürütüleceğini belirten bir anahtar görevi görür ve bizim durumumuzda bu, son yük DLL’sidir.”
