Киберпреступники, вооруженные коварным арсеналом, все чаще используют GitHub – платформу, задуманную как оплот сотрудничества разработчиков, – в качестве канала распространения вредоносного программного обеспечения. В эпицентре этих атак оказывается Lumma Stealer, изощренная программа-похититель информации, оркеструющая целую симфонию угроз. Эта кампания, чьи тактика, техники и процедуры (TTP) поразительно похожи на почерк группировки Stargazer Goblin, демонстрирует растущую сложность и изворотливость современных киберугроз.
Злоумышленники искусно используют инфраструктуру релизов GitHub, размещая там вредоносные файлы, замаскированные под легитимное программное обеспечение. Жертвы, перенаправленные на GitHub со скомпрометированных веб-сайтов, зачастую построенных на базе WordPress, без подозрения загружают такие файлы, как
После запуска Lumma Stealer начинает свою разрушительную деятельность, незаметно похищая конфиденциальные данные и устанавливая связь со своими командными серверами, располагающимися по адресам
Помимо своей основной функции – кражи данных, Lumma Stealer выполняет роль плацдарма для запуска других вредоносных программ, таких как SectopRAT, Vidar и Cobeacon, демонстрируя модульный подход злоумышленников. SectopRAT, например, представлен в виде файлов
Арсенал приемов Lumma Stealer также включает в себя различные техники уклонения от обнаружения. Отключение песочницы графического процессора, использование пользовательских каталогов данных и обфускация PowerShell-скриптов — лишь некоторые из методов, применяемых для того, чтобы остаться незамеченным. Часто используемые имена скриптов включают
Для достижения своих целей злоумышленники не гнушаются и компрометацией легитимных веб-сайтов, откуда пользователей перенаправляют на фишинговые GitHub-страницы. Примеры таких страниц включают:
В противовес этой угрозе на первый план выходит Managed Detection and Response (MDR), как решение, способное обнаружить и предотвратить подобные атаки. Профессиональный анализ данных, полученных с помощью продуктов Trend Micro™, позволяет быстро выявлять и устранять угрозы, даже если они исходят из, казалось бы, легитимных источников.
Этот инцидент наглядно демонстрирует, что методы распространения Lumma Stealer постоянно совершенствуются, используя GitHub в качестве эффективного инструмента. Модель «вредоносное ПО как услуга» (MaaS) позволяет злоумышленникам экономически эффективно проводить сложные кибератаки, прибегая к модульному подходу, доставляя несколько угроз с одной инфекцией. Кроме того, наблюдается четкая связь кампании с тактикой, приписываемой группе Stargazer Goblin, что подчеркивает необходимость бдительности и применения проактивных мер безопасности.
Для защиты от подобных атак рекомендуется тщательно проверять URL-адреса и загружаемые файлы, регулярно пересматривать цифровые сертификаты, использовать надежные решения для защиты конечных точек, блокировать известные вредоносные IP-адреса и домены, обучать сотрудников правилам распознавания фишинга и социальной инженерии, сотрудничать с поставщиками MDR, регулярно обновлять операционные системы и приложения, внедрять многофакторную аутентификацию (MFA) и применять концепцию «нулевого доверия». Порты 80, 443 и 9000 также могут быть заблокированы в целях безопасности. Затронуты службы Google Chrome, Microsoft OneDrive и Discord. Слабостью также является WordPress, который также требует незамедлительных обновлений.
Изображение носит иллюстративный характер
Злоумышленники искусно используют инфраструктуру релизов GitHub, размещая там вредоносные файлы, замаскированные под легитимное программное обеспечение. Жертвы, перенаправленные на GitHub со скомпрометированных веб-сайтов, зачастую построенных на базе WordPress, без подозрения загружают такие файлы, как
Pictore.exe или App_aeIGCY3g.exe. Первоначально эти файлы были подписаны цифровыми сертификатами, выданными компаниями ConsolHQ LTD и Verandah Green Limited, однако эти сертификаты впоследствии были отозваны, что является явным признаком злонамеренной активности. После запуска Lumma Stealer начинает свою разрушительную деятельность, незаметно похищая конфиденциальные данные и устанавливая связь со своими командными серверами, располагающимися по адресам
192[.]142[.]10[.]246:80, 192[.]178[.]54[.]36:443 и 84[.]200[.]24[.]26:80. Чтобы закрепиться в системе, вредоносное ПО использует PowerShell-скрипты, планировщик задач и ярлыки в папке «Автозагрузка», гарантируя свое присутствие при каждом запуске системы. Помимо своей основной функции – кражи данных, Lumma Stealer выполняет роль плацдарма для запуска других вредоносных программ, таких как SectopRAT, Vidar и Cobeacon, демонстрируя модульный подход злоумышленников. SectopRAT, например, представлен в виде файлов
HumanitarianProvinces.exe, PillsHarvest.exe, BelfastProt.exe и Scielfic.exe и устанавливает удаленный доступ к скомпрометированной системе. Vidar, в свою очередь, проникает в систему под видом файлов, таких как DesignersCrawford.exe, и также нацелен на кражу информации, устанавливая связь с C&C сервером по адресу 5[.]75[.]212[.]196:443 и доменом ikores[.]sbs. Злоумышленники также используют домен lumdukekiy[.]shop для своих операций. Кроме того, кампания распространяет ZIP-архивы по ссылке [.]shop/int_clp_sha[.]txt. Арсенал приемов Lumma Stealer также включает в себя различные техники уклонения от обнаружения. Отключение песочницы графического процессора, использование пользовательских каталогов данных и обфускация PowerShell-скриптов — лишь некоторые из методов, применяемых для того, чтобы остаться незамеченным. Часто используемые имена скриптов включают
Signup.cmd и GZ7BLVTR7HDJSNI8Z66BYYANMD.ps1. Для достижения своих целей злоумышленники не гнушаются и компрометацией легитимных веб-сайтов, откуда пользователей перенаправляют на фишинговые GitHub-страницы. Примеры таких страниц включают:
[.]com/updatepage333, [.]com/pricedpage/, [.]com/propage66, [.]com/pratespage, , [.]com/pageagain/, [.]com/webcheck357, [.]com/gn/, [.]com/nicepage77/pro77.php, [.]com/webcheck/, [.]com/nicepage/pro.php, [.]com/updatepage/, [.]com/webpage37/, [.]com/pagenow/, [.]com/newpagyes/ и [.]com/newnewpage/, что подчеркивает масштабность и сложность кампании. Злоумышленники также активно используют скрипты AutoIt, часто меняя их имена: Denmark.com, Sports.com, Privilege.com, Fabric.com. Для автоматизации заражения часто применяются файлы ярлыков: HealthPulse.url, JavaScript файлы: HealthPulse.js и Quantifyr.js, и AutoIt файлы: HealthPulse.scr.
Следует также отметить, что аккаунты GitHub, используемые для распространения вредоносного ПО, создаются незадолго до начала атак. Например, аккаунты [.]com/magupdate (зарегистрирован 12.04.2024) и [.]com/yesfound/ (зарегистрирован 12.11.2024) практически не имеют другой активности, кроме загрузки вредоносных файлов. Примеры таких файлов, размещенных на GitHub, включают: [.]com/viewfilenow/Downloadnew/releases/download/3214214/Pictore.exe, [.]com/down4up/44/releases/download/33/App_aeIGCY3g.exe, [.]com/zabdownload/v14981950815/releases/download/23113123/Squarel_JhZjXa.exe, [.]com/g1lsetup/iln7/releases/download/423425325/NanoPhanoTool.exe, [.]com/yesfound/worked/releases/download/1/QilawatProtone.exe, [.]com/down7/Settingup/releases/download/set/NativeApp_G5L1NHZZ.exe, [.]com/JF6DEU/vrc121/releases/download/2025/X-essentiApp.ex_, [.]com/g1lsetup/v2025/releases/download/ex/X-essentiApp.exe, [.]com/dowwnloader/FileSetup/releases/download/124124125/NativeApp_azgEO1k4.exe, [.]com/magupdate/Freshversion10/releases/download/12315151/NativeApp_01C02RhQ.exe, [.]com/kopersparan/Downloadable/releases/download/314/Paranoide.exe и [.]com/mp3andmovies/installer/releases/download/versoin4124/AevellaAi.2.exe`. В противовес этой угрозе на первый план выходит Managed Detection and Response (MDR), как решение, способное обнаружить и предотвратить подобные атаки. Профессиональный анализ данных, полученных с помощью продуктов Trend Micro™, позволяет быстро выявлять и устранять угрозы, даже если они исходят из, казалось бы, легитимных источников.
Этот инцидент наглядно демонстрирует, что методы распространения Lumma Stealer постоянно совершенствуются, используя GitHub в качестве эффективного инструмента. Модель «вредоносное ПО как услуга» (MaaS) позволяет злоумышленникам экономически эффективно проводить сложные кибератаки, прибегая к модульному подходу, доставляя несколько угроз с одной инфекцией. Кроме того, наблюдается четкая связь кампании с тактикой, приписываемой группе Stargazer Goblin, что подчеркивает необходимость бдительности и применения проактивных мер безопасности.
Для защиты от подобных атак рекомендуется тщательно проверять URL-адреса и загружаемые файлы, регулярно пересматривать цифровые сертификаты, использовать надежные решения для защиты конечных точек, блокировать известные вредоносные IP-адреса и домены, обучать сотрудников правилам распознавания фишинга и социальной инженерии, сотрудничать с поставщиками MDR, регулярно обновлять операционные системы и приложения, внедрять многофакторную аутентификацию (MFA) и применять концепцию «нулевого доверия». Порты 80, 443 и 9000 также могут быть заблокированы в целях безопасности. Затронуты службы Google Chrome, Microsoft OneDrive и Discord. Слабостью также является WordPress, который также требует незамедлительных обновлений.
