Source: The DFIR Report (30 sept. 2025). Contexte: incident survenu en mai 2024, démarré par l’exécution d’un JavaScript Latrodectus 1.3 déguisé en formulaire fiscal W‑9, menant au déploiement de Brute Ratel puis Cobalt Strike, et à une présence quasi continue durant près de deux mois.

• Chaîne d’intrusion: un JS fortement obfusqué télécharge un MSI qui lance un DLL Brute Ratel (via rundll32), lequel injecte Latrodectus dans explorer.exe et établit des C2 (souvent derrière Cloudflare). Le stealer Latrodectus est récupéré, puis, ~1 h après l’accès initial, début de la reconnaissance (ipconfig, systeminfo, nltest, whoami). ~6 h après, mise en place d’un BackConnect/VNC opérationnel pour navigation, dépôts d’outils et contrôle à distance.

• Escalade et mouvement latéral: au jour 3, découverte d’un unattend.xml contenant des identifiants admin de domaine en clair, offrant un accès haut privilège. Au jour 4, déploiement de Cobalt Strike, élévation de privilèges via Secondary Logon/runas et bypass UAC (hijack ms-settings + PowerShell), reconnaissance Active Directory avec AdFind, puis lateral movement via PsExec vers un contrôleur de domaine, serveurs de fichiers et de sauvegarde. Tentatives supplémentaires: Zerologon (CVE-2020-1472) via un outil custom (zero.exe) et essai de Metasploit (échec du C2). Au jour 5, connexions RDP avec le compte admin de domaine et rotation des implants Brute Ratel.

• Persistance, évasion et accès aux identifiants: persistance par Run key (Brute Ratel) et tâche planifiée via un backdoor .NET (lsassa.exe). Forte injection de processus (explorer.exe, sihost.exe, spoolsv.exe, dllhost.exe), suppression de fichiers post-usage. Accès aux identifiants via stealer Latrodectus (navigateurs, Outlook, profils MAPI), collecte de LSASS, récupération des creds Veeam (Veeam-Get-Creds.ps1) et exploitation d’unattend.xml.

• Exfiltration et dwell time: au jour 20, exfiltration de données depuis un serveur de fichiers avec rclone renommé (sihosts.exe) vers un FTP distant pendant ~9 h 46, automatisée par scripts (VBScript/batch). L’intrus revient jours 26–28 pour extraire des identifiants de l’outil de backup et scanner le réseau avec rustscan. La présence C2 (BackConnect, Latrodectus, Brute Ratel, Cobalt Strike) est maintenue par intermittence près de deux mois, sans ransomware observé.

• Outils et infrastructures clés 🧰: Latrodectus 1.3, Brute Ratel (upfilles.dll, wscadminui.dll), Cobalt Strike (cron801.dl_, system.dl_, sys.dll), backdoor lsassa.exe (.NET), exploit zero.exe (Zerologon), BackConnect/VNC, PsExec/WMIC/RDP, AdFind, PowerView Invoke-ShareFinder, Veeam-Get-Creds.ps1, rustscan, rclone (sihosts.exe). Conclusion: article de type rapport/étude de cas, à visée de documentation technique détaillée et d’attribution de TTP/IOC.

• IOCs (sélection) 🗂️:

  • Latrodectus C2: workspacin.cloud, illoskanawer.com, grasmetral.com, jarkaairbo.com, scupolasta.store
  • BackConnect IPs: 193.168.143.196, 185.93.221.12
  • Brute Ratel C2: anikvan.com, altynbe.com, boriz400.com, erbolsan.com, samderat200.com, dauled.com, kasymdev.com, kasym500.com
  • Cobalt Strike C2: avtechupdate.com (206.206.123.209), 45.129.199.214, 31.13.248.153
  • Lsassa C2: cloudmeri.com (162.0.209.121)
  • Exfil FTP: 45.135.232.3 (utilisateur: J0eBidenAbrabdy1aS3ha2Yeami)
  • Autres: MSI download hxxp://91.194.11.64/MSI.msi; RDP Client Name: VPS2DAY-32220LE
  • Hashs (extraits): lsassa.exe MD5 50abc42faa70062e20cd5e2a2e2b6633; zero.exe MD5 91889658f1c8e1462f06f019b842f109; system.dl_/cron801.dl_ MD5 495363b0262b62dfc38d7bfb7b5541aa; upfilles.dll MD5 ccb6d3cb020f56758622911ddd2f1fcb; wscadminui.dll MD5 d7bd590b6c660716277383aa23cb0aa9

• TTPs observées (extraits) 🕵️:

  • Initial access: JS malveillant thématisé impôts (W‑9), téléchargement MSI et exécution rundll32
  • Exécution/Contrôle: Brute Ratel, Cobalt Strike, BackConnect/VNC, injection dans processus légitimes
  • Reconnaissance: commandes Windows intégrées; AdFind; PowerView Invoke-ShareFinder; rustscan
  • Élévation: Secondary Logon/runas, UAC bypass (ms-settings hijack + PowerShell), tentative Zerologon
  • Mouvement latéral: PsExec, WMIC, RDP
  • Accès identifiants: unattend.xml (admin domaine en clair), LSASS, Veeam-Get-Creds, stealer Latrodectus
  • Persistance: Run key (Brute Ratel), tâche planifiée (lsassa.exe)
  • Évasion: suppression de fichiers, C2 via infrastructures Cloudflare/Akamai/Tyk.io
  • Exfiltration: rclone vers FTP (scripts start.vbs/run.bat)

Type d’article: rapport d’incident technique détaillé visant à documenter la chronologie, les outils, l’infrastructure C2, les IOCs et les TTPs d’une intrusion attribuée à LUNAR SPIDER.

🔗 Source originale : https://thedfirreport.com/2025/09/29/from-a-single-click-how-lunar-spider-enabled-a-near-two-month-intrusion/