Yeni gözlemlenen bir kötü amaçlı yazılım suşu olan Lunar Spider, sistemleri tek bir tıklamayla tehlikeye atarak Windows ortamları için güçlü bir tehdit olarak ortaya çıktı.
İlk olarak Eylül 2025’in ortalarında tespit edilen operatörleri, geleneksel savunmalardan kaçınmak için teslimat ve yük stratejilerini hızlı bir şekilde rafine ettiler.
İlk raporlar, kurbanların kimlik avı e-postaları veya anında harmanlama platformları aracılığıyla görünüşte zararsız bir bağlantı aldıklarını gösteriyor. Tıklandıktan sonra, Lunar Spider, temel bileşenlerinin gizli bir indirimini başlatır ve normal sistem etkinliğiyle karışmak için meşru pencerelerden yararlanır.
Birkaç dakika içinde, kötü amaçlı yazılım bir dayanak oluşturur, aktif kullanıcı oturumları için tararlar ve görünür bir uzlaşma belirtisi olmadan depolanan kimlik bilgilerini hasat etmeye devam eder.
DFIR raporundaki araştırmacılar, olağandışı Microsoft kimlik yöneticisi API ile karşılaştıktan sonra Lunar Spider’ı birkaç kurumsal uç noktaya çağırdıktan sonra tanımladı.
İlk analiz, kötü amaçlı yazılımların komut ve kontrol (C2) sunucularından ek modüller almak için Windows bitleri (arka plan akıllı aktarım hizmeti) kullandığını ortaya koydu.
Bu manevra sadece ağ trafiğini gizlemekle kalmaz, aynı zamanda birçok uç nokta algılama sisteminin indirmeyi işaretlemesini önler. Çekirdek ikili kurulduktan sonra, Lunar Spider PowerShell’de yazılmış hafif bir yükleyici yürütür ve doğrudan bellekte ikincil yükleri başlatır.
Bu dosya olmayan yaklaşım, disk üzerindeki adli artefaktları önemli ölçüde azaltarak olay müdahale çabalarını karmaşıklaştırır.
Uygulamak
Lunar Spider’ın kampanyasının etkisi derin oldu. Etkilenen kuruluşlar, dahili gösterge tablolarına ve e -posta hesaplarına yetkisiz erişim bildirir ve bunu tehlikeye atılan posta kutularından hedeflenen kimlik avı kampanyaları izler.
Bazı durumlarda, saldırganlar ağlar boyunca yanal olarak hareket etmek, hassas belgeleri ve finansal kayıtları ortadan kaldırmak için çalıntı kimlik bilgilerini kullandılar.
Güvenlik ekipleri, Lunar Spider’ın minimal ayak izi ve meşru pencere süreçlerinin kullanımı nedeniyle enfeksiyonu izole etmek için mücadele etti.
.webp)
Lunar Spider’s’a daha yakından bakmak enfeksiyon mekanizması Sofistike tek tıklamayla uzlaşma iş akışını ortaya çıkarır.
Bağlantı aktivasyonu üzerine, kısa bir toplu komut dosyası mShta.exe aracılığıyla yürütülür ve çekirdek yükü indiren gizlenmiş bir PowerShell komutunu çağırır.
Komut dosyası daha sonra yükü, yürütmeye devam etmeden önce CreateProcess ve WriteProcessMemory gibi Windows API çağrılarını kullanarak askıya alınmış bir svchost.exe işlemine enjekte eder.
Bu enjeksiyon tekniği, güvenilir bir hizmet ana bilgisayarının kisvesi altındaki kötü niyetli kodu gizler ve böylece birçok sezgisel tabanlı tarayıcıdan kaçar.
Belleğe girdikten sonra, enjekte edilen yük, yerel API’larla arayüz oluşturmak için aşağıdaki snippet’i kullanarak Windows kimlik yöneticisi tarafından depolanan kimlik bilgilerini bulur ve çıkarır:
# Load necessary assembly for credential enumeration
Add-Type -AssemblyName System.Security
# Enumerate credentials and output decrypted secrets
$creds = [System.Security.CredentialManagement.Credential]::LoadAll()
foreach ($cred in $creds) {
Write-Output "Host: $($cred.TargetName) | Username: $($cred.Username) | Password: $($cred.Password)"
}Bu yaklaşım, ay örümceğinin, RDP ve VPN girişlerinden kaydedilmiş web ve veritabanı şifrelerine kadar geniş bir dizi kimlik bilgilerini hasat etmesini sağlar.
Bu büyüyen tehdide yanıt olarak, kuruluşlar olağandışı MSHTA.EXE ve PowerShell alt süreçlerini izlemeye, katı uygulama beyaz listeleme ve kimlik yöneticisi verilerine erişimi sınırlamak için ayrıcalık seviyelerini uygulama istenir. Anormal bit transferleri için gelişmiş ağ izleme, C2 iletişiminin erken tespit edilmesine yardımcı olabilir.
Lunar Örümcek gelişmeye devam ettikçe, savunucular davranışsal analitikleri sağlam uç nokta kontrolleriyle birleştiren katmanlı bir güvenlik duruşunu benimsemelidir.
Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin– CSN’yi Google’da tercih edilen bir kaynak olarak ayarlayın.
