SOC Prime Bias: Середній

21 Apr 2026 18:12
newspaper icon Центр Інтернет-бурі SANS

Інфікування Lumma Stealer з Sectop RAT (ArechClient2)

Author Photo
Ruslan Mikhalov Керівник досліджень загроз у SOC Prime linkedin icon Стежити
Інфікування Lumma Stealer з Sectop RAT (ArechClient2)
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Резюме

Звіт описує двоетапний ланцюг інфекції, у якому Lumma Stealer спочатку доставляється через архів 7-Zip, захищений паролем, після чого завантажується Sectop RAT (ArechClient2) DLL на пізньому етапі. Перший корисний вантаж надходить у формі громіздкого виконуваного файлу Windows, доповненого нульовими байтами, тактика, ймовірно, призначена для уникнення виявлення і ускладнення аналізу. Шкідливе ПЗ поширюється через зламані сторінки завантаження, які імітують легітимні сервіси, збільшуючи ймовірність виконання користувачем. Телеметрія мережі пов’язувала активність із кількома шкідливими доменами та відомою IP-адресою, що використовувалася для управління і контролю.

Розслідування

Аналітик отримав шкідливий архів, вилучив із нього перевеликий виконуваний файл та дослідив його зменшену форму після видалення додаткових даних. Аналіз у пісочниці виявив кілька доменів командування та контролю, пов’язаних із Lumma Stealer, а також окремий DLL компонент, який завантажив Sectop RAT через rundll32. Захоплення мережі також показало трафік HTTP до шкідливої IP-адреси через порти 9000 і 443, при цьому передані дані, здається, були закодованими.

Заходи щодо пом’якшення

Організації повинні використовувати інструменти інспекції вмісту, здатні виявляти роздуті виконувані файли та архіви, захищені паролем. Відомі шкідливі домени та IP-адреси, пов’язані з кампанією, повинні бути заблоковані на мережевому рівні. Захисники також повинні контролювати підозрілу rundll32 активність, яка пов’язана з несподіваними DLL і відстежувати вихідні з’єднання до виявленої інфраструктури управління і контролю. Суворий контроль завантажень і обмеження на сайти обміну файлами, що розміщують зламаний або ненадійний програмний продукт, можуть ще більше зменшити ризик експозиції.

Відповідь

Команди безпеки повинні бути у стані тривоги, коли архіви 7-Zip, захищені паролем, завантажуються з підозрілих URL. Додаткове виявлення повинно зосереджуватися на виконанні незвично великих роздуті виконувані файли та rundll32 запуск DLL з тимчасових або доступних користувачеві каталогів. Телеметрію мережі слід співвідносити з вказаними доменами та IP-адресами, і всі уражені системи повинні бути негайно ізольовані для розслідування та усунення.

"graph TB %% Class definitions classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Nodes technique_content_injection["<b>Техніка</b> – <b>T1659 Впорскування Контенту</b><br/>Компроміс веб-сайтів для впорскування шкідливих ресурсів, таких як посилання для завантаження."] class technique_content_injection technique tool_lumma_stealer["<b>Інструмент</b> – <b>Ім’я</b>: Lumma Stealer<br/><b>Функція</b>: Збирає збережені паролі та записи менеджера облікових даних."] class tool_lumma_stealer tool technique_obfuscation_files["<b>Техніка</b> – <b>T1027 Обфускація Файлів або Інформації</b><br/>Кодування або шифрування корисних навантажень для приховування шкідливого вмісту."] class technique_obfuscation_files technique technique_compression["<b>Техніка</b> – <b>T1027.015 Архів за допомогою Утиліти</b><br/>Використання архіву 7u2011zip, захищеного паролем, для приховування корисного навантаження."] class technique_compression technique technique_credential_store["<b>Техніка</b> – <b>T1555 Облікові Дані з Сховищ Паролів</b><br/>Витягування облікових даних, збережених у браузерах, додатках або сховищах ОС."] class technique_credential_store technique technique_credential_manager["<b>Техніка</b> – <b>T1555.004 Менеджер Облікових Даних Windows</b><br/>Вилучення облікових даних, збережених у Менеджері Облікових Даних Windows."] class technique_credential_manager technique technique_unsecured_file["<b>Техніка</b> – <b>T1552.001 Незахищені Облікові Дані у Файлах</b><br/>Читання даних облікових даних, залишених у файлах з відкритим текстом."] class technique_unsecured_file technique technique_rundll32_proxy["<b>Техніка</b> – <b>T1218.011 Rundll32</b><br/>Виконання DLL коду через rundll32.exe з точкою входу LoadForm."] class technique_rundll32_proxy technique technique_appcert_dll["<b>Техніка</b> – <b>T1546.009 AppCert DLL</b><br/>Тригерне завантаження DLL через механізм Сертифікації Застосувань."] class technique_appcert_dll technique malware_netgui_dll["<b>Шкідливе ПЗ</b> – <b>Ім’я</b>: NetGui.dll<br/><b>Роль</b>: Завантажений DLL, що завантажується через rundll32."] class malware_netgui_dll malware technique_web_protocol["<b>Техніка</b> – <b>T1071.001 Веб Протоколи</b><br/>Використання HTTP/HTTPS для трафіку командування і контролю."] class technique_web_protocol technique technique_bidirectional["<b>Техніка</b> – <b>T1102.002 Двостороннє Веб Обслуговування</b><br/>Обмін командами та даними через канал веб обслуговування."] class technique_bidirectional technique technique_encrypted_channel["<b>Техніка</b> – <b>T1573 Зашифрований Канал</b><br/>Шифрування C2 трафіку для уникнення виявлення."] class technique_encrypted_channel technique technique_protocol_tunneling["<b>Техніка</b> – <b>T1572 Тунелювання Протоколу</b><br/>Інкапсуляція шкідливого трафіку всередині легітимних протоколів."] class technique_protocol_tunneling technique technique_data_obfuscation["<b>Техніка</b> – <b>T1001 Обфускація Даних</b><br/>Обфускація даних корисного навантаження для приховування його призначення."] class technique_data_obfuscation technique %% Connections technique_content_injection –>|використовує| tool_lumma_stealer tool_lumma_stealer –>|доставляє| technique_obfuscation_files technique_obfuscation_files –>|включає| technique_compression technique_compression –>|веде до| technique_credential_store technique_credential_store –>|також використовує| technique_credential_manager technique_credential_manager –>|і| technique_unsecured_file technique_unsecured_file –>|активізує| technique_rundll32_proxy technique_rundll32_proxy –>|завантажує| malware_netgui_dll malware_netgui_dll –>|тригер| technique_appcert_dll technique_appcert_dll –>|встановлює| technique_web_protocol technique_web_protocol –>|використовує| technique_bidirectional technique_bidirectional –>|захищено| technique_encrypted_channel technique_encrypted_channel –>|додатково приховано через| technique_protocol_tunneling technique_protocol_tunneling –>|використовує| technique_data_obfuscation "

Потік Атаки

Виявлення

Можливі Точки Сталості [ASEPs – Програмне Забезпечення/Вулик NTUSER] (через подія реєстру)

Команда SOC Prime
20 квітня 2026

Переглянути

Rundll32 Підозріла Виконання Шляху DLL (через створення процесу)

Команда SOC Prime
20 квітня 2026

Переглянути

Підозріле Заплановане Завдання (через аудит)

Команда SOC Prime
20 квітня 2026

Переглянути

Підозріле Командування та Контроль Через Незвичайний Рівень Верхнього Домену (TLD) DNS Запит (через DNS)

Команда SOC Prime
20 квітня 2026

Переглянути

Індикатори скомпрометованості (HashSha256) для виявлення: зараження Lumma Stealer з Sectop RAT (ArechClient2)

Правила SOC Prime AI
20 квітня 2026

Переглянути

Індикатори скомпрометованості (SourceIP) для виявлення: зараження Lumma Stealer з Sectop RAT (ArechClient2)

Правила SOC Prime AI
20 квітня 2026

Переглянути

Індикатори скомпрометованості (DestinationIP) для виявлення: зараження Lumma Stealer з Sectop RAT (ArechClient2)

Правила SOC Prime AI
20 квітня 2026

Переглянути

Виявлення Командування та Контролю Трафіку Sectop RAT [Windows Підключення до Мережі]

Правила SOC Prime AI
20 квітня 2026

Переглянути

Виявлення Інфекції Lumma Stealer та Sectop RAT (ArechClient2) [Windows Подія Файлу]

Правила SOC Prime AI
20 квітня 2026

Переглянути

Виконання Симуляції

Передумова: Перевірка Попереднього Політу Телеметрії і Базового рівня повинна бути пройдена.

  • Сценарій Атаки та Команди:
    Симульований нападник спочатку отримує архів Lumma Stealer (adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z) з компрометованого сайту завантажень. Архів потрапляє в папку Завантаження користувача, потім витягується, записуючи шкідливий DLL 16XBPQ29ZBG94TYNOA.dll в Темп каталог користувача. Присутність цього DLL є точним індикатором, за яким слідкує правило Sigma, представляючи етап корисної навантаження, що дозволяє збір облікових даних для подальшої інфекції Sectop RAT.

  • Скрипт Регресійного Тесту:

    # Симуляція вкидання Lumma Stealer та ін'єкції DLL
$archiveName = "adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z"
$downloadDir = "$env:USERPROFILEDownloads"
$tempDllPath = "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll"

# Крок 1: Створіть фальш-файл архіву (імітація завантаження)
New-Item -Path (Join-Path $downloadDir $archiveName) -ItemType File -Force | Out-Null

# Крок 2: Імітація вилучення - створення шкідливого DLL у тимчасовій папці
New-Item -Path $tempDllPath -ItemType File -Force | Out-Null

Write-Host "Симуляція завершено: $archiveName створений і DLL завантажений у Тимчасовий каталог."

  • Команди Очищення:

    # Видаліть симульовані артефакти
Remove-Item -Path "$env:USERPROFILEDownloadsadobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" -Force -ErrorAction SilentlyContinue
Write-Host "Очищення завершено."

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно