Infection par Lumma Stealer avec Sectop RAT (ArechClient2)

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

Infection par Lumma Stealer avec Sectop RAT (ArechClient2)

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

Le rapport décrit une chaîne d’infection en deux étapes dans laquelle Lumma Stealer est initialement livré via une archive 7-Zip protégée par mot de passe, suivie par le chargement d’un RAT Sectop (ArechClient2) DLL à un stade ultérieur. La première charge utile arrive sous forme d’un exécutable Windows gonflé rempli de zéros, une tactique probablement destinée à échapper à la détection et à compliquer l’analyse. Le malware est distribué via des pages de téléchargement compromises qui imitent des services légitimes, augmentant ainsi la probabilité d’exécution par l’utilisateur. La télémetrie réseau a lié l’activité à plusieurs domaines malveillants et à une adresse IP connue utilisée pour les communications de commande et contrôle.

Enquête

L’analyste a obtenu l’archive malveillante, extrait l’exécutable surdimensionné, et examiné sa forme réduite après dégonflement. L’analyse en sandbox a révélé plusieurs domaines de commande et contrôle associés à Lumma Stealer, ainsi qu’un composant DLL séparé qui a chargé le RAT Sectop via rundll32. Les captures réseau ont également montré du trafic HTTP vers une adresse IP malveillante sur les ports 9000 et 443, les données échangées semblant être encodées.

Atténuation

Les organisations devraient utiliser des outils d’inspection de contenu capables d’identifier les exécutables gonflés et les archives protégées par mot de passe. Les domaines malveillants connus et les adresses IP liées à la campagne devraient être bloqués au niveau réseau. Les défenseurs devraient également surveiller l’activité suspecte rundll32 impliquant des DLL inattendues et suivre les connexions sortantes vers l’infrastructure de commande et contrôle identifiée. Des contrôles de téléchargement stricts et des restrictions sur les sites de partage de fichiers hébergeant des logiciels piratés ou non fiables peuvent également réduire l’exposition.

Réponse

Les équipes de sécurité devraient alerter lorsqu’une archive 7-Zip protégée par mot de passe est téléchargée depuis des URL suspectes. Des détections supplémentaires devraient se concentrer sur l’exécution d’exécutables anormalement grands et remplis de zéros et sur rundll32 le lancement de DLL depuis des répertoires temporaires ou accessibles aux utilisateurs. La télémetrie réseau devrait être corrélée avec les domaines et adresses IP listés, et tout système affecté devrait être immédiatement mis en quarantaine pour enquête et remédiation.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes technique_content_injection["Technique – T1659 Injection de Contenu Compromettre des sites web pour injecter des ressources malveillantes comme des liens de téléchargement."] class technique_content_injection technique tool_lumma_stealer["Outil – Nom: Lumma Stealer Fonction: Récolte les mots de passe stockés et les entrées du gestionnaire d’informations d’identification."] class tool_lumma_stealer tool technique_obfuscation_files["Technique – T1027 Fichiers ou Informations Obfusqués Encoder ou crypter les charges utiles pour masquer le contenu malveillant."] class technique_obfuscation_files technique technique_compression["Technique – T1027.015 Archive via Utilitaire Utiliser une archive 7-zip protégée par mot de passe pour dissimuler la charge utile."] class technique_compression technique technique_credential_store["Technique – T1555 Informations d’identification issues des Gestionnaires de Mots de Passe Extraire les informations d’identification enregistrées dans les navigateurs, les applications ou les magasins de l’OS."] class technique_credential_store technique technique_credential_manager["Technique – T1555.004 Gestionnaire d’identifications Windows Extraire les informations d’identification stockées dans le Gestionnaire d’identifications Windows."] class technique_credential_manager technique technique_unsecured_file["Technique – T1552.001 Informations d’identification non sécurisées dans les Fichiers Lire les données d’identification laissées dans les fichiers en clair."] class technique_unsecured_file technique technique_rundll32_proxy["Technique – T1218.011 Rundll32 Exécuter le code DLL via rundll32.exe avec le point d’entrée LoadForm."] class technique_rundll32_proxy technique technique_appcert_dll["Technique – T1546.009 AppCert DLL Déclencher le chargement de DLL via le mécanisme de Certification des Applications."] class technique_appcert_dll technique malware_netgui_dll["Malware – Nom: NetGui.dll Rôle: DLL déposée chargée par rundll32."] class malware_netgui_dll malware technique_web_protocol["Technique – T1071.001 Protocoles Web Utiliser HTTP/HTTPS pour le trafic de commande et de contrôle."] class technique_web_protocol technique technique_bidirectional["Technique – T1102.002 Service Web Bidirectionnel Échanger des commandes et des données via un canal de service web."] class technique_bidirectional technique technique_encrypted_channel["Technique – T1573 Canal Crypté Crypter le trafic C2 pour éviter la détection."] class technique_encrypted_channel technique technique_protocol_tunneling["Technique – T1572 Tunnelisation de Protocole Encapsuler le trafic malveillant dans des protocoles légitimes."] class technique_protocol_tunneling technique technique_data_obfuscation["Technique – T1001 Obfuscation des Données Obfusquer les données de la charge utile pour en masquer l’objectif."] class technique_data_obfuscation technique %% Connections technique_content_injection –>|uses| tool_lumma_stealer tool_lumma_stealer –>|delivers| technique_obfuscation_files technique_obfuscation_files –>|includes| technique_compression technique_compression –>|leads to| technique_credential_store technique_credential_store –>|also uses| technique_credential_manager technique_credential_manager –>|and| technique_unsecured_file technique_unsecured_file –>|enables| technique_rundll32_proxy technique_rundll32_proxy –>|loads| malware_netgui_dll malware_netgui_dll –>|triggers| technique_appcert_dll technique_appcert_dll –>|establishes| technique_web_protocol technique_web_protocol –>|uses| technique_bidirectional technique_bidirectional –>|protected by| technique_encrypted_channel technique_encrypted_channel –>|further hidden via| technique_protocol_tunneling technique_protocol_tunneling –>|uses| technique_data_obfuscation "

Flux d’attaque

# Simulateur de dépôt de Lumma Stealer et d'injection de DLL
$archiveName = "adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z"
$downloadDir = "$env:USERPROFILEDownloads"
$tempDllPath = "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll"

# Étape 1 : Créer un fichier d'archive factice (simulant le téléchargement)
New-Item -Path (Join-Path $downloadDir $archiveName) -ItemType File -Force | Out-Null

# Étape 2 : Simuler l'extraction - créer la DLL malveillante dans le dossier Temp
New-Item -Path $tempDllPath -ItemType File -Force | Out-Null

Write-Host "Simulation terminée : $archiveName créé et DLL déposée dans Temp."

Commandes de Nettoyage :

# Supprimer les artefacts simulés
Remove-Item -Path "$env:USERPROFILEDownloadsadobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" -Force -ErrorAction SilentlyContinue
Write-Host "Nettoyage terminé."

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement