Elasticsearchは5月16日(米国時間)、「Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID — Elastic Security Labs」において、2023年10月にウォルマートの研究者によって発見されたマルウェアローダーの「LATRODECTUS」が、金銭獲得を目的としたサイバー攻撃における利用が増加傾向にあるとして、注意を喚起した。

  • Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID — Elastic Security Labs

    Spring Cleaning with LATRODECTUS: A Potential Replacement for ICEDID — Elastic Security Labs

マルウェアローダー「LATRODECTUS」とは

Elasticsearchのセキュリティ研究者は、2024年3月初旬からLATRODECTUSを配布するメールキャンペーンの増加を観察したと説明している。LATRODECTUSはトロイの木馬「IcedID」の代替となり得る複数の共通点を持つことが分析から確認されている。

  • LATRODECTUSの感染経路 — Elasticsearch

    LATRODECTUSの感染経路 — Elasticsearch

LATRODECTUSは4つの異なるエクスポート関数が同じエクスポートアドレスを持つ特殊なDLL(Dynamic Link Library)とされる。分析妨害機能として、アンチデバッグ機能、サンドボックスおよび仮想マシンの検出機能を持つ。

また、同一システムへの再感染防止と永続化に加え、プロセスの実行中に自己削除を実現する特殊な機能を持ち、サンプルの収集と分析を徹底的に妨害しようとする。なお、Elasticsearchのセキュリティ研究者はこの動作を検出するCAPAルールを「capa-rules/anti-analysis/anti-forensic/self-deletion/self-delete-using-alternate-data-streams.yml at master · mandiant/capa-rules · GitHub」にて公開している。

影響と対策

LATRODECTUSに感染するとシステム情報およびネットワーク情報が窃取される。また、攻撃者のコマンド&コントロール(C2: Command and Control)サーバからペイロードをダウンロードして実行するマルウェアローダーとしての機能を攻撃者に提供する。

ElasticsearchはLATRODECTUSを検出するためのYARAルールを「protections-artifacts/yara/rules/Windows_Trojan_Latrodectus.yar at main · elastic/protections-artifacts · GitHub」にて公開しており、必要に応じて活用することが望まれている。