lunar-spider - RunkIntel

# Lunar Spider > [!warning] Resumo Executivo > LUNAR SPIDER (rastreado pela CrowdStrike; também conhecido como **Gold Cabin**, **Gold SwathMore**) e um dos grupos de eCrime financeiramente motivado mais sofisticados do ecossistema russo. Ativo desde pelo menos 2009, o grupo desenvolveu e operou o [[s0483-icedid|IcedID (BokBot)]] durante anos como MaaS, fornecendo acesso inicial para parceiros ransomware incluindo WIZARD SPIDER (Conti/TrickBot) e ALPHV/BlackCat. Após o takedown do IcedID pela **Operation Endgame (maio 2024)**, o grupo rapidamente retomou operações usando [[s1160-latrodectus|Latrodectus (Lotus)]] com Brute Ratel C4. Em 2025, expandiu vetores de infecção via FakeCaptcha em sites comprometidos com CORS vulnerabilities. Funciona como **infraestrutura hub** para o ecossistema eCrime russo. ## Visão Geral **LUNAR SPIDER** e um dos grupos de eCrime mais antigos e persistentes rastreados pela CrowdStrike. O grupo opera como **desarrollador e operador de MaaS (Malware-as-a-Service)**, desenvolvendo malware de qualidade enterprise que e licenciado para afiliados (outros grupos criminosos) para uso em campanhas. CrowdStrike descreve o grupo como: *"comportam-se quase como uma startup - constantemente testando, inovando e desenvolvendo o que fazem."* ### Produtos de Malware Desenvolvidos 1. **IcedID / BokBot** (2017-2024): Inicialmente um banking trojan com web injects, VNC remoto e proxy. Evoluiu para loader/IAB ao longo do tempo, fornecendo acesso a campanhas de ransomware via Conti, Egregor, Sodinokibi, Maze e outros. 2. **Latrodectus / Lotus** (2023-presente): Successor do IcedID. Downloader com sandbox evasion, criptografia RC4, comunicação via Cloudflare. Primeiro distribuido por [[g1037-ta577|TA577]] (nov 2023), depois exclusivamente por [[g1038-ta578|TA578]]. Em 2025, versao V2 com DLL sideloading de executavel Intel. ### Parcerias Documentadas - **WIZARD SPIDER** (Conti/TrickBot): Vazamentos de chat da Conti confirmam que LUNAR SPIDER fornecia e mantinha componentes do BokBot para WIZARD SPIDER. Referencia interna: "Anubis". - **ALPHV/BlackCat**: Infraestrutura compartilhada documentada via passive DNS - mesmos IPs hospedaram C2 IcedID e C2 BlackCat em jánelas proximas. - **Nemty/TRAVELING SPIDER** e **TA2101/TWISTED SPIDER**: Uso de IcedID para acesso inicial. - **Scattered Spider**: Casos documentados usando infraestrutura LUNAR SPIDER pos-acesso inicial. ## Diagrama de Kill Chain ```mermaid graph TB A["🎭 Initial Vector Malvertising SEO FakeCaptcha / JS lure"] --> B["📦 MSI Installer Intel EXE legitimo DLL sideload Latrodectus"] B --> C["🤖 Latrodectus C2 Registro criptografado RC4 Cloudflare front"] C --> D["🔀 Access Broker Vende acesso para parceiros ransomware"] D --> E["🎯 Partner Deploy Brute Ratel C4 Cobalt Strike + BackConnect"] E --> F["💰 Ransomware / Data ALPHV ou WIZARD Full compromise"] style A fill:#1a5276,color:#fff style B fill:#154360,color:#fff style C fill:#0e2d4a,color:#fff style D fill:#7b241c,color:#fff style E fill:#922b21,color:#fff style F fill:#6c3483,color:#fff ``` ## Timeline Operacional ```mermaid timeline title LUNAR SPIDER - Historia e Evolução 2009-2016 : Surgimento como ator financeiro : Operacoes pre-IcedID : Colaboracao inicial com outros grupos 2017 : Lancamento do IcedID / BokBot : Banking trojan com web injects : MaaS oferecido para parceiros 2018-2020 : Colaboracao com WIZARD SPIDER : TrickBot usa componente BokBot : 81% código compartilhado documentado 2021-2023 : IcedID evolui de banking para loader : Parceiros: Conti, ALPHV, Egregor, Maze : Teste interno Latrodectus Nov 2023 : Latrodectus distribuido por TA577 : Primeiras campanhas em producao Mai 2024 : Operation Endgame takedown IcedID : Infraestrutura desmontada Out 2024 : Retomada com Brute Ratel C4 : Malvertising SEO poisoning fintech 2025 : FakeCaptcha via CORS vulnerabilities : Latrodectus V2 com DLL sideloading : Monitoramento via Telegram bot ``` ## Campanha Outubro 2024 - Malvertising Financeiro Em outubro de 2024, EclecticIQ documentou campanha ligada ao LUNAR SPIDER com alta confiança: 1. **Vetor**: SEO poisoning em buscas financeiras (ex: "free accounting software") 2. **Payload Stage 1**: JavaScript obfuscado (`Document-16-32-50.js`) baixado via link malvertising 3. **Stage 2**: JS executa MSI de IP controlado pelo atacante (`45.14.244.124/dsa.msi`) 4. **Stage 3**: MSI instala Brute Ratel C4 via `rundll32` 5. **C2 domains**: `bazarunet[.]com`, `greshunka[.]com`, `tiguanin[.]com` 6. **Infraestrutura**: SHOCK-1 (ASN 395092), BlueVPS, OVH, The Infrastructure Group Conexão IcedID/Latrodectus via passive DNS: dominio `peronikilinfer[.]com` (Latrodectus C2, set 2024) hospedado em IP que anteriormente hospeou `jkbarmossen[.]com` (IcedID C2, out 2023 - ligado a ALPHV). ## Campanha 2025 - FakeCaptcha NVISO documentou campanha ativa de LUNAR SPIDER em 2025: 1. Comprometimento de sites com vulnerabilidade CORS 2. Injecao de iframe com FakeCaptcha (TeleCaptcha) sobrepondo site legítimo 3. Vitima resolve questao matematica simples (anti-sandbox) 4. PowerShell malicioso baixa MSI com executavel Intel legitimo + DLL Latrodectus V2 5. MSI registra EXE Intel em Run key, que faz DLL sideloading do Latrodectus 6. Sistema de monitoramento: cliques reportados a canal Telegram do atacante em tempo real ## Conexão com Intrusions de Longa Duracao Relatorio DFIR Report (setembro 2025) detalha intrusion de quase 2 meses ligada ao LUNAR SPIDER: - **Dia 1**: JavaScript "tax form" executa MSI -> Brute Ratel DLL via rundll32 - **6 horas depois**: BackConnect VNC para acesso remoto furtivo - **Dia 3**: Acesso a `unattend.xml` com credenciais de domain admin em texto claro - **Dia 4-5**: Cobalt Strike beacons injetados em spoolsv.exe; Zerologon ([[cve-2020-1472|CVE-2020-1472]]) tentado - **Dias 5-60**: Intermittent C2, reconhecimento, exfiltração via Rclone e FTP (~2GB exfiltrados) - **Sem ransomware**: Intrusion terminou sem deploy de ransomware - possívelmente acesso vendido ## Relevância para o Brasil e LATAM LUNAR SPIDER representa ameaça **de alta relevância estrutural** para o Brasil: 1. **Hub de ecossistema**: Como fornecedor de infraestrutura para ALPHV e WIZARD SPIDER, infeccoes LUNAR SPIDER sao portas de entrada para ransomware de alto impacto no Brasil 2. **Setor financeiro**: Malvertising SEO em buscas financeiras atinge empresas e usuarios brasileiros que pesquisam software de gestao, contabilidade e financeiro 3. **Latrodectus FakeCaptcha**: Qualquer site brasileiro com vulnerabilidade CORS pode se tornar vetor de infecção sem comprometimento intencional do site 4. **Persistência pos-Endgame**: O grupo demonstrou capacidade de retomar operações rapidamente após takedown policial - ameaça de longa duracao > [!tip] Mitigação Prioritaria > Monitorar instalacoes de MSI via PowerShell de origens externas. Bloquear execução de DLLs via processo Intel legitimate (igfxSDK.exe) em contextos nao corporativos. Auditar CORS configurations em sites públicos. ## Técnicas MITRE ATT&CK | Técnica | ID | Fase | Uso | |---------|-----|------|-----| | Spearphishing Link | [[t1566-002-spearphishing-link\|T1566.002]] | Acesso Inicial | Malvertising e FakeCaptcha em sites comprometidos | | Acquire Domains | [[t1583-001-domains\|T1583.001]] | Preparação | Domínios para distribuição de malware | | JavaScript Execution | [[t1059-007-javascript\|T1059.007]] | Execução | IcedID e Latrodectus via JScript/JS | | Msiexec | [[t1218-007-msiexec\|T1218.007]] | Evasão | Instalação de MSI via PowerShell externo | | DLL Side-Loading | [[t1574-002-dll-side-loading\|T1574.002]] | Evasão/Persistência | igfxSDK.exe carregando DLL maliciosa | | Registry Run Keys | [[t1547-001-registry-run-keys\|T1547.001]] | Persistência | Run key para executável Intel fora de diretório padrão | | Obfuscated Files | [[t1027-obfuscated-files\|T1027]] | Evasão | Código ofuscado em JS legítimos | ## Detecção | Indicador / Comportamento | Técnica | |---------------------------|---------| | MSI instalado via PowerShell de URL externa | T1218.007 | | igfxSDK.exe (Intel) carregando DLL de diretorio do usuario | T1574.002 | | Run key apontando para executavel Intel em diretorio nao padrao | T1547.001 | | JavaScript ofuscado com export "fin" executando MSIEXEC | T1059.007 | | Certificados SSL: issuer "AU, Some-State, Internet Widgits Pty Ltd" | Infraestrutura | | IP em ASN BlueVPS (AS62005) ou SHOCK-1 com porta C2 incomum | T1095 | | BackConnect VNC connections de processo explorer.exe | T1021.005 | ## Referências - [1](https://blog.eclecticiq.com/inside-intelligence-center-lunar-spider-enabling-ransomware-attacks-on-financial-sector-with-brute-ratel-c4-and-latrodectus) EclecticIQ - LUNAR SPIDER: Brute Ratel C4 e Latrodectus (2024) - [2](https://blog.nviso.eu/2025/10/01/lunar-spider-expands-their-web-via-fakecaptcha/) NVISO - Lunar Spider: FakeCaptcha e Latrodectus V2 (2025) - [3](https://thedfirreport.com/2025/09/29/from-a-single-click-how-lunar-spider-enabled-a-near-two-month-intrusion/) The DFIR Report - Lunar Spider: Intrusion de 2 Meses (2025) - [4](https://www.techtarget.com/searchsecurity/news/252460313/CrowdStrike-Cybercrime-groups-joining-forces-to-pack-more-punch) TechTarget/CrowdStrike - LUNAR SPIDER e WIZARD SPIDER Code Sharing - [5](https://securityonline.info/russian-speaking-lunar-spider-group-launches-new-ransomware-wave-with-latrodectus-v2-loader/) SecurityOnline - Lunar Spider: Latrodectus V2 Loader (2025)