Ssylka

Зловещая симфония: Lumma Stealer дирижирует оркестром угроз через GitHub

Киберпреступники, вооруженные коварным арсеналом, все чаще используют GitHub – платформу, задуманную как оплот сотрудничества разработчиков, – в качестве канала распространения вредоносного программного обеспечения. В эпицентре этих атак оказывается Lumma Stealer, изощренная программа-похититель информации, оркеструющая целую симфонию угроз. Эта кампания, чьи тактика, техники и процедуры (TTP) поразительно похожи на почерк группировки Stargazer Goblin, демонстрирует растущую сложность и изворотливость современных киберугроз.
Зловещая симфония: Lumma Stealer дирижирует оркестром угроз через GitHub
Изображение носит иллюстративный характер

Злоумышленники искусно используют инфраструктуру релизов GitHub, размещая там вредоносные файлы, замаскированные под легитимное программное обеспечение. Жертвы, перенаправленные на GitHub со скомпрометированных веб-сайтов, зачастую построенных на базе WordPress, без подозрения загружают такие файлы, как Pictore.exe или App_aeIGCY3g.exe. Первоначально эти файлы были подписаны цифровыми сертификатами, выданными компаниями ConsolHQ LTD и Verandah Green Limited, однако эти сертификаты впоследствии были отозваны, что является явным признаком злонамеренной активности.

После запуска Lumma Stealer начинает свою разрушительную деятельность, незаметно похищая конфиденциальные данные и устанавливая связь со своими командными серверами, располагающимися по адресам 192[.]142[.]10[.]246:80, 192[.]178[.]54[.]36:443 и 84[.]200[.]24[.]26:80. Чтобы закрепиться в системе, вредоносное ПО использует PowerShell-скрипты, планировщик задач и ярлыки в папке «Автозагрузка», гарантируя свое присутствие при каждом запуске системы.

Помимо своей основной функции – кражи данных, Lumma Stealer выполняет роль плацдарма для запуска других вредоносных программ, таких как SectopRAT, Vidar и Cobeacon, демонстрируя модульный подход злоумышленников. SectopRAT, например, представлен в виде файлов HumanitarianProvinces.exe, PillsHarvest.exe, BelfastProt.exe и Scielfic.exe и устанавливает удаленный доступ к скомпрометированной системе. Vidar, в свою очередь, проникает в систему под видом файлов, таких как DesignersCrawford.exe, и также нацелен на кражу информации, устанавливая связь с C&C сервером по адресу 5[.]75[.]212[.]196:443 и доменом ikores[.]sbs. Злоумышленники также используют домен lumdukekiy[.]shop для своих операций. Кроме того, кампания распространяет ZIP-архивы по ссылке [.]shop/int_clp_sha[.]txt.

Арсенал приемов Lumma Stealer также включает в себя различные техники уклонения от обнаружения. Отключение песочницы графического процессора, использование пользовательских каталогов данных и обфускация PowerShell-скриптов — лишь некоторые из методов, применяемых для того, чтобы остаться незамеченным. Часто используемые имена скриптов включают Signup.cmd и GZ7BLVTR7HDJSNI8Z66BYYANMD.ps1.

Для достижения своих целей злоумышленники не гнушаются и компрометацией легитимных веб-сайтов, откуда пользователей перенаправляют на фишинговые GitHub-страницы. Примеры таких страниц включают: [.]com/updatepage333, [.]com/pricedpage/, [.]com/propage66, [.]com/pratespage, , [.]com/pageagain/, [.]com/webcheck357, [.]com/gn/, [.]com/nicepage77/pro77.php, [.]com/webcheck/, [.]com/nicepage/pro.php, [.]com/updatepage/, [.]com/webpage37/, [.]com/pagenow/, [.]com/newpagyes/ и [.]com/newnewpage/, что подчеркивает масштабность и сложность кампании. Злоумышленники также активно используют скрипты AutoIt, часто меняя их имена: Denmark.com, Sports.com, Privilege.com, Fabric.com. Для автоматизации заражения часто применяются файлы ярлыков: HealthPulse.url, JavaScript файлы: HealthPulse.js и Quantifyr.js, и AutoIt файлы: HealthPulse.scr.

Следует также отметить, что аккаунты GitHub, используемые для распространения вредоносного ПО, создаются незадолго до начала атак. Например, аккаунты
[.]com/magupdate (зарегистрирован 12.04.2024) и [.]com/yesfound/ (зарегистрирован 12.11.2024) практически не имеют другой активности, кроме загрузки вредоносных файлов. Примеры таких файлов, размещенных на GitHub, включают: [.]com/viewfilenow/Downloadnew/releases/download/3214214/Pictore.exe, [.]com/down4up/44/releases/download/33/App_aeIGCY3g.exe, [.]com/zabdownload/v14981950815/releases/download/23113123/Squarel_JhZjXa.exe, [.]com/g1lsetup/iln7/releases/download/423425325/NanoPhanoTool.exe, [.]com/yesfound/worked/releases/download/1/QilawatProtone.exe, [.]com/down7/Settingup/releases/download/set/NativeApp_G5L1NHZZ.exe, [.]com/JF6DEU/vrc121/releases/download/2025/X-essentiApp.ex_, [.]com/g1lsetup/v2025/releases/download/ex/X-essentiApp.exe, [.]com/dowwnloader/FileSetup/releases/download/124124125/NativeApp_azgEO1k4.exe, [.]com/magupdate/Freshversion10/releases/download/12315151/NativeApp_01C02RhQ.exe, [.]com/kopersparan/Downloadable/releases/download/314/Paranoide.exe и [.]com/mp3andmovies/installer/releases/download/versoin4124/AevellaAi.2.exe`.

В противовес этой угрозе на первый план выходит Managed Detection and Response (MDR), как решение, способное обнаружить и предотвратить подобные атаки. Профессиональный анализ данных, полученных с помощью продуктов Trend Micro™, позволяет быстро выявлять и устранять угрозы, даже если они исходят из, казалось бы, легитимных источников.

Этот инцидент наглядно демонстрирует, что методы распространения Lumma Stealer постоянно совершенствуются, используя GitHub в качестве эффективного инструмента. Модель «вредоносное ПО как услуга» (MaaS) позволяет злоумышленникам экономически эффективно проводить сложные кибератаки, прибегая к модульному подходу, доставляя несколько угроз с одной инфекцией. Кроме того, наблюдается четкая связь кампании с тактикой, приписываемой группе Stargazer Goblin, что подчеркивает необходимость бдительности и применения проактивных мер безопасности.

Для защиты от подобных атак рекомендуется тщательно проверять URL-адреса и загружаемые файлы, регулярно пересматривать цифровые сертификаты, использовать надежные решения для защиты конечных точек, блокировать известные вредоносные IP-адреса и домены, обучать сотрудников правилам распознавания фишинга и социальной инженерии, сотрудничать с поставщиками MDR, регулярно обновлять операционные системы и приложения, внедрять многофакторную аутентификацию (MFA) и применять концепцию «нулевого доверия». Порты 80, 443 и 9000 также могут быть заблокированы в целях безопасности. Затронуты службы Google Chrome, Microsoft OneDrive и Discord. Слабостью также является WordPress, который также требует незамедлительных обновлений.


Новое на сайте

15287Жидкость, восстанавливающая форму: нарушение законов термодинамики 15286Аркадия ведьм: загадка Чарльза годфри Леланда и её влияние на современную магию 15285Кто станет новым героем Звёздных войн в 2027 году? 15283Ануше Ансари | Почему космические исследования важны для Земли 15282Гизем Гумбуская | Синтетический морфогенез: самоконструирующиеся живые архитектуры по... 15281Как предпринимателю остаться хозяином своей судьбы? 15280Люси: путешествие к древним обломкам солнечной системы 15279Роберт Лиллис: извлеченные уроки для экономически эффективных исследований дальнего... 15278Почему супермен до сих пор остаётся символом надежды и морали? 15277Райан Гослинг в роли нового героя «Звёздных войн»: что известно о фильме Star Wars:... 15276Почему экваториальная Гвинея остаётся одной из самых закрытых и жестоких диктатур мира? 15275Почему морские слизни становятся ярче под солнцем? 15274Глен Вейль | Можем ли мы использовать ИИ для построения более справедливого общества? 15273Лириды: где и как увидеть древний звездопад в этом апреле? 15272Сдержит ли налог на однодневных туристов в Венеции наплыв гостей?