Latrodectus ダウンローダーは QBot が中断したところから再開します

アナリストは当初、このダウンローダーは有名なマルウェア IcedID の亜種だと考えていましたが、Latrodectus はまったく新しいものであることが判明しました。

このマルウェアは電子メール脅威キャンペーンの初期アクセス ブローカー (IAB) によって使用されており、Proofpoint の発見に携わった研究者と Team Cymru S2 脅威調査チームは、Latrodectus が脅威アクターの間で勢いを増し続けると予測しています。その主な理由は、サンドボックスの検出を回避する能力によるものだと研究者らは述べています。

「初期化後、マルウェアは環境をチェックして、デバイス上で実行中のプロセスの量を確認することによってサンドボックスで実行されていないことを確認し、次にマルウェアが 64 ビット ホスト上で実行されていることを確認します。最後に、マルウェアは次のようになります。ホストに有効な MAC アドレスがあるかどうかを確認するためです」と、Critical Start の脅威検出エンジニアである Adam Neel 氏の声明によると、 「これらのサンドボックス回避技術は、研究者や擁護者がラトロデクトゥスのサンプルを分析するのを遅らせる可能性があります。」

2023年末に初めて発見され、XNUMX月からXNUMX月にかけて新しいローダーを使用した脅威活動が明らかに増加しているとレポートは警告している。

ではありませんが、 IcedID の亜種研究者らは、分析中に見つかった一連のコードにちなんで名付けられた Latrodectus が同様の特徴を持っていることを発見し、研究チームは両方が同じ開発者によって作成されたと結論付けました。

2023 年 XNUMX 月に Latrodectus を使用した最初のグループは、 TA577、そして2024年XNUMX月中旬以来、ほぼ独占的にそれに依存していると報告書は述べています。 Latrodectusを逮捕する前、敵対グループはIcedIDを使用していたと付け加えた。

578 月、研究者らは、別のグループ TAXNUMX が、著作権侵害に対する訴訟の脅迫をフィッシング詐欺として送信するキャンペーンで Latrodectus を配布していることを発見しました。

Latrodectus Downloader は新しい QBot ですか?

新しい Latrodectus ダウンローダーは、 QBot マルウェアの削除 Qualys Threat Research Unit のサイバー脅威ディレクターである Ken Dunham 氏の声明によると、2023 年の夏に (Qakbot としても知られる) が導入される予定です。

「TA577 と他の攻撃者は Qbot と提携しており、現在は新しいマルウェア キャンペーンである Latrodectus と提携しています」とダナム氏は説明しました。 「QBot の背後にある攻撃者は、昨年のテイクダウンの熱を感じて、2023 年の秋にこの新しいコード ベースとインフラストラクチャに移行した可能性があります。」

電子メールキャンペーンで積極的に使用されている Latrodectus を認識し、警戒することは、企業がアップグレードされたダウンローダーから防御するのに役立つと専門家はアドバイスしています。の 新しい Latrodectus レポート 役立つ戦術、テクニック、手順を提供します。

「これが Latrodectus の最終形態ではない可能性があり、今後も成長を続け、IcedID との差別化をさらに進める可能性があります」と Neel 氏は付け加えました。 「Latrodectus は現在、電子メール キャンペーンを通じて配布されているため、フィッシングに対する認識の必要性は引き続き非常に重要です。」

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.darkreading.com/threat-intelligence/new-loader-takes-over-where-qbot-left-off