Endgame adlı koordineli bir kolluk kuvvetleri operasyonu sonrasında aksaklıklar yaşayan iki kötü amaçlı yazılım ailesi, yeni kimlik avı kampanyalarının bir parçası olarak yeniden ortaya çıktı.
Her ikisi de kötü amaçlı yazılım yükleyicileri olan Bumblebee ve Latrodectus, güvenliği ihlal edilmiş ana bilgisayarlara ek yükler indirip çalıştırmanın yanı sıra kişisel verileri çalmak üzere tasarlanmıştır.
BlackWidow, IceNova, Lotus veya Unidentified 111 isimleri altında takip edilen Latrodectus’un da iki kötü amaçlı yazılım ailesi arasındaki altyapı çakışmaları nedeniyle IcedID’nin halefi olduğu değerlendiriliyor. TA577 (aka Water Curupira) ve TA578 olarak bilinen iki ilk erişim komisyoncusu (IAB) ile ilişkili kampanyalarda kullanılmıştır.
Mayıs 2024’te Avrupa ülkelerinden oluşan bir koalisyon, IcedID (ve buna bağlı olarak Latrodectus), SystemBC, PikaBot, SmokeLoader, Bumblebee ve TrickBot gibi çeşitli kötü amaçlı yazılım türleriyle bağlantılı 100’den fazla sunucuyu çökerttiğini söyledi.
Bitsight güvenlik araştırmacısı João Batista Haziran 2024’te “Operasyonda Latrodectus’tan bahsedilmese de o da etkilendi ve altyapısı çevrimdışı oldu” dedi.
Siber güvenlik firması Trustwave, bu ayın başlarında yayınlanan bir analizde Latrodectus’u, Endgame Operasyonu sonrasında artış gösteren “belirgin bir tehdit” olarak tanımladı.
Siber güvenlik şirketi, “Başlangıçta etkilenmiş olsa da Latrodectus hızla toparlandı. Gelişmiş yetenekleri, engelli muadillerinin bıraktığı boşluğu doldurarak kendisini zorlu bir tehdit haline getirdi” dedi.
Saldırı zincirleri genellikle kötü amaçlı spam kampanyalarından yararlanır, ele geçirilen e-posta dizilerinden yararlanır ve kötü amaçlı yazılım dağıtım sürecini etkinleştirmek için Microsoft Azure ve Google Cloud gibi meşru varlıkların kimliğine bürünür.
Forcepoint ve Logpoint tarafından yeni gözlemlenen bulaşma dizisi aynı yolu izliyor; kötü amaçlı bir bağlantı içeren PDF ekleri veya sırasıyla bir MSI yükleyicisini ve bir PowerShell betiğini indirmek için tasarlanmış gömülü JavaScript kodu içeren HTML dosyalarını taşıyan DocuSign temalı e-posta mesajları.
Kullanılan yöntem ne olursa olsun, saldırı, kötü amaçlı bir DLL dosyasının yayılmasıyla sonuçlanır ve bu dosya da Latrodectus kötü amaçlı yazılımını başlatır.
Forcepoint araştırmacısı Mayur Sewani, “Latrodectus, finans, otomotiv ve iş sektörlerine yönelik yeni, yenilikçi kötü amaçlı yazılım yükü dağıtım yöntemiyle birlikte eski altyapıdan yararlanıyor” dedi.
Devam eden Latrodectus kampanyaları, dağıtım mekanizması olarak muhtemelen kimlik avı e-postaları aracılığıyla indirilen bir ZIP arşiv dosyasını kullanan Bumblebee yükleyicinin geri dönüşüyle örtüşüyor.
Netskope araştırmacısı “ZIP dosyası ‘Report-41952.lnk’ adında bir LNK dosyası içeriyor ve bu dosya yürütüldüğünde, bellekteki son Bumblebee yükünü indirip yürütmek için bir olaylar zinciri başlatıyor ve DLL’yi diske yazma ihtiyacını ortadan kaldırıyor.” Leandro Fróes dedi.
LNK dosyasının, uzak bir sunucudan bir MSI yükleyicisini indirmek için bir PowerShell komutunu yürütmesi amaçlanmıştır. Bir kez başlatıldığında, NVIDIA ve Midjourney yükleyicileri gibi görünen MSI örnekleri, Bumblebee DLL’yi başlatmak için bir kanal görevi görüyor.
Fróes, “Bumblebee, diğer süreçlerin oluşturulmasını önlemek için daha gizli bir yaklaşım kullanıyor ve son veri yükünü diske yazmaktan kaçınıyor” dedi.
“Bunu, Dosya tablosundaki bir dosyada bulunan DllRegisterServer dışa aktarma işlevinin yürütülmesini zorlamak için SelfReg tablosunu kullanarak yapar. SelfReg tablosundaki giriş, Dosya tablosunda ve bizim tablomuzda hangi dosyanın yürütüleceğini belirten bir anahtar olarak çalışır. durumda bu son yük DLL’siydi.”