Lumma Stealer-Infektion mit Sectop RAT (ArechClient2)

Ruslan Mikhalov Leiter der Bedrohungsforschung bei SOC Prime

Folgen

Lumma Stealer-Infektion mit Sectop RAT (ArechClient2)

Detection stack

AIDR
Alert
ETL
Query

Bedrohungsbericht
Angriffsablauf
Erkennungen
Simulationen

Zusammenfassung

Der Bericht beschreibt eine zweistufige Infektionskette, bei der Lumma Stealer zunächst über ein passwortgeschütztes 7-Zip-Archiv geliefert wird, gefolgt vom Laden eines Sectop RAT (ArechClient2) DLL zu einem späteren Zeitpunkt. Das erste Payload erscheint als aufgeblähte Windows-Executable, die mit Nullbytes gefüllt ist, eine Taktik, die wahrscheinlich darauf abzielt, Erkennung zu vermeiden und die Analyse zu erschweren. Die Malware wird über kompromittierte Download-Seiten verteilt, die legitime Dienste nachahmen, was die Wahrscheinlichkeit erhöht, dass Benutzer sie ausführen. Netzwerktelemetrie ließ die Aktivität mit mehreren bösartigen Domains und einer bekannten IP-Adresse in Verbindung bringen, die für die Command-and-Control-Kommunikation verwendet wird.

Untersuchung

Der Analyst erhielt das bösartige Archiv, extrahierte die übergroße Executable und untersuchte ihre reduzierte Form nach der Dekompression. Die Analyse in der Sandbox offenbarte mehrere Command-and-Control-Domains, die mit Lumma Stealer in Verbindung stehen, zusammen mit einer separaten DLL-Komponente, die Sectop RAT durch rundll32lud. Netzwerkmitschnitte zeigten auch HTTP-Verkehr zu einer bösartigen IP-Adresse über die Ports 9000 und 443, wobei die ausgetauschten Daten als kodiert erschienen.

Minderung

Organisationen sollten Inhaltsinspektionstools verwenden, die in der Lage sind, aufgeblähte Executables und passwortgeschützte Archive zu identifizieren. Bekannte bösartige Domains und IP-Adressen, die mit der Kampagne verbunden sind, sollten auf der Netzwerkschicht blockiert werden. Verteidiger sollten auch verdächtige rundll32 Aktivitäten bezüglich unerwarteter DLLs überwachen und ausgehende Verbindungen zur identifizierten Command-and-Control-Infrastruktur verfolgen. Starke Download-Kontrollen und Beschränkungen auf Dateifreigabe-Websites, die gecrackte oder nicht vertrauenswürdige Software hosten, können die Exposition weiter verringern.

Reaktion

Sicherheitsteams sollten alarmieren, wenn passwortgeschützte 7-Zip-Archive von verdächtigen URLs heruntergeladen werden. Zusätzliche Erkennungen sollten sich auf die Ausführung ungewöhnlich großer gepolsterter Executables und das rundll32 Starten von DLLs aus temporären oder benutzerzugänglichen Verzeichnissen konzentrieren. Netzwerktelemetrie sollte mit den aufgeführten Domains und IP-Adressen korreliert werden, und alle betroffenen Systeme sollten sofort für Untersuchung und Bereinigung unter Quarantäne gestellt werden.

"graph TB %% Klassendefinitionen classDef technique fill:#ffcc99 classDef tool fill:#c2f0c2 classDef malware fill:#ffb3b3 classDef operator fill:#ff9900 %% Knoten technique_content_injection["Technik – T1659 Inhaltseinschleusung Kompromittiere Websites, um bösartige Ressourcen wie Download-Links zu injizieren."] class technique_content_injection technique tool_lumma_stealer["Werkzeug – Name: Lumma Stealer Funktion: Erntet gespeicherte Passwörter und Credential Manager-Einträge."] class tool_lumma_stealer tool technique_obfuscation_files["Technik – T1027 Verschleierte Dateien oder Informationen Codieren oder verschlüsseln Payloads, um bösartigen Inhalt zu verbergen."] class technique_obfuscation_files technique technique_compression["Technik – T1027.015 Archiv über Dienstprogramm Verwenden Sie ein passwortgeschütztes 7-Zip-Archiv, um die Nutzdaten zu verbergen."] class technique_compression technique technique_credential_store["Technik – T1555 Anmeldeinformationen aus Passwortspeichern Extrahieren Sie Anmeldeinformationen, die in Browsern, Apps oder Betriebssystem-Speichern gespeichert sind."] class technique_credential_store technique technique_credential_manager["Technik – T1555.004 Windows Credential Manager Dump Anmeldeinformationen, die im Windows-Anmeldedaten-Manager gespeichert sind."] class technique_credential_manager technique technique_unsecured_file["Technik – T1552.001 Unverschlüsselte Anmeldeinformationen in Dateien Lesen Sie Anmeldedaten, die als Klartext in Dateien verbleiben."] class technique_unsecured_file technique technique_rundll32_proxy["Technik – T1218.011 Rundll32 Führen Sie DLL-Code über rundll32.exe mit dem LoadForm-Einstiegspunkt aus."] class technique_rundll32_proxy technique technique_appcert_dll["Technik – T1546.009 AppCert DLL Lösen Sie das Laden von DLLs über den Mechanismus der Anwendungszertifizierung aus."] class technique_appcert_dll technique malware_netgui_dll["Malware – Name: NetGui.dll Rolle: Fallengelassene DLL, geladen durch rundll32."] class malware_netgui_dll malware technique_web_protocol["Technik – T1071.001 Web-Protokolle Verwenden Sie HTTP/HTTPS für Kommando- und Kontrollverkehr."] class technique_web_protocol technique technique_bidirectional["Technik – T1102.002 Bidirektionaler Webservice Austausch von Befehlen und Daten über einen Webservice-Kanal."] class technique_bidirectional technique technique_encrypted_channel["Technik – T1573 Verschlüsselter Kanal Verschlüsseln Sie den C2-Verkehr, um Erkennung zu vermeiden."] class technique_encrypted_channel technique technique_protocol_tunneling["Technik – T1572 Protokoll-Tunneling Verkapseln Sie bösartigen Verkehr in legitime Protokolle."] class technique_protocol_tunneling technique technique_data_obfuscation["Technik – T1001 Datenverschleierung Verschleiern Sie Payload-Daten, um ihren Zweck zu verbergen."] class technique_data_obfuscation technique %% Verbindungen technique_content_injection –>|verwendet| tool_lumma_stealer tool_lumma_stealer –>|liefert| technique_obfuscation_files technique_obfuscation_files –>|beinhaltet| technique_compression technique_compression –>|führt zu| technique_credential_store technique_credential_store –>|verwendet auch| technique_credential_manager technique_credential_manager –>|und| technique_unsecured_file technique_unsecured_file –>|ermöglicht| technique_rundll32_proxy technique_rundll32_proxy –>|lädt| malware_netgui_dll malware_netgui_dll –>|löst aus| technique_appcert_dll technique_appcert_dll –>|etabliert| technique_web_protocol technique_web_protocol –>|verwendet| technique_bidirectional technique_bidirectional –>|geschützt durch| technique_encrypted_channel technique_encrypted_channel –>|weiter verdeckt über| technique_protocol_tunneling technique_protocol_tunneling –>|verwendet| technique_data_obfuscation "

Angriffsablauf

# Simulation von Lumma Stealer-Drop und DLL-Injektion
$archiveName = "adobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z"
$downloadDir = "$env:USERPROFILEDownloads"
$tempDllPath = "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll"

# Schritt 1: Erstellen einer Dummy-Archivdatei (Simulation des Downloads)
New-Item -Path (Join-Path $downloadDir $archiveName) -ItemType File -Force | Out-Null

# Schritt 2: Simulation der Extraktion – Erstellen der bösartigen DLL im Temp-Ordner
New-Item -Path $tempDllPath -ItemType File -Force | Out-Null

Write-Host "Simulation abgeschlossen: $archiveName erstellt und DLL ins Temp-Verzeichnis abgelegt."

Bereinigungslbefehle:

# Entfernen von simulierten Artefakten
Remove-Item -Path "$env:USERPROFILEDownloadsadobe_premiere_pro_(2026)_full_v26.0.2_español_[mega].7z" -Force -ErrorAction SilentlyContinue
Remove-Item -Path "$env:LOCALAPPDATATemp16XBPQ29ZBG94TYNOA.dll" -Force -ErrorAction SilentlyContinue
Write-Host "Bereinigung abgeschlossen."

Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit der für Ihr Unternehmen relevantesten Bedrohungen zu verbessern. Um Ihnen den Einstieg zu erleichtern und unmittelbaren Mehrwert zu erzielen, buchen Sie jetzt ein Treffen mit den Experten von SOC Prime.

Kostenlos beitreten