Folgen
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
LummaStealer ist ein Infostealer, der nach einer großen Störung der Strafverfolgungsbehörden im Jahr 2025 wieder aufgetaucht ist. Die jüngsten Aktivitäten drehen sich um CastleLoader, ein skriptbasierter Loader, der LummaStealer durch Social-Engineering-Köder wie gefälschte „geknackte“ Software und gefälschte CAPTCHA-Seiten liefert. Die Kette betont die Ausführung im Speicher, aggressive Verschleierung und gemeinsame Infrastruktur in beiden Malware-Familien. Verteidiger können sich darauf konzentrieren, nach ungewöhnlichem DNS-Verhalten, AutoIt Ausführungsspuren und gängigen Persistenzmustern zu suchen.
Untersuchung
Bitdefender-Forscher analysierten frische Proben und bestätigten CastleLoader als Hauptliefermechanismus von LummaStealer. Geschrieben in AutoIt, führt der Loader Sandbox-Checks durch, erstellt Persistenz in Lokalableicher, und generiert ein unverwechselbares Netzwerksignal durch wiederholte fehlerhafte DNS-Abfragen. Analysten stellten auch eine Infrastrukturüberlappung mit GrayBravo-verlinkten Diensten fest. Relevante Befehlszeilenzeichenfolgen und Codeausschnitte wurden extrahiert, um die Entwicklung von Erkennungsregeln zu unterstützen.
Minderung
Reduzieren Sie das Risiko, indem Sie Downloads von gecrackter Software, Spielinstallern und anderen nicht vertrauenswürdigen Medienpaketen blockieren. Verhindern oder engmaschig kontrollieren Sie die Ausführung unbekannter AutoIt Skripte und überwachen Sie die Dateierstellung unter CraftStitch Studios Inc-benannte Pfade. Erzwingen und rotieren Sie Anmeldedaten nach vermutetem Kompromiss. Wenden Sie Netzwerkkontrollen an, um die charakteristischen fehlerhaften DNS-Abfragen und die damit verbundene bösartige IP-Infrastruktur zu kennzeichnen oder zu blockieren. MFA and rotate credentials after suspected compromise. Apply network controls to flag or block the characteristic failed DNS lookups and the associated malicious IP infrastructure.
Reaktion
Wenn Artefakte von CastleLoader oder LummaStealer gefunden werden, isolieren Sie den Host, stoppen Sie verdächtige AutoIt Prozesse und entfernen Sie Persistenzartefakte aus %LocalAppData%CraftStitch Studios Inc. Bewahren Sie Beweise auf, indem Sie die abgelegte Nutzlast, relevante Netzwerk-Telemetrie und erstellte Verknüpfungen sammeln. Setzen Sie exponierte Anmeldedaten zurück und machen Sie aktive Browsersitzungen ungültig. Aktualisieren Sie Erkennungen mit den extrahierten IOCs, um weitere betroffene Hosts zu identifizieren.
"graph TB %% Klassendefinitionen classDef action fill:#99ccff classDef tool fill:#ffcc99 classDef malware fill:#ff9999 classDef operator fill:#ff9900 classDef builtin fill:#cccccc %% Knoten – Erstzugriff init_user_execution["<b>Aktion</b> – <b>T1204 Benutzer Ausführung</b>: Opfer führen gefälschte geknackte Software oder Spiel-/Film-Installer aus.<br/><b>Beschreibung</b>: Ausführung von bösartigem Code durch den Benutzer."] class init_user_execution action init_mal_copy_paste["<b>Aktion</b> – <b>T1204.004 Bösartige Kopie und Einfügen</b>: Benutzer folgen ClickFix CAPTCHA-Anweisungen, um bösartige Befehle zu kopieren und einzufügen.<br/><b>Beschreibung</b>: Angreifer leitet das Opfer an, angreiferkontrollierten Code auszuführen."] class init_mal_copy_paste action %% Knoten – Loader-Bereitstellung loader_autoit["<b>Werkzeug</b> – <b>T1059.010 AutoIt Interpreter</b>: Kompilierter CastleLoader-Skript.<br/><b>Beschreibung</b>: Führen Sie stark verschleierten AutoIt-Code aus."] class loader_autoit tool obfuscation["<b>Aktion</b> – <b>T1027.009 Eingebettete Nutzlasten</b>: Verschleierter AutoIt-Skript verbirgt bösartige Nutzlast.<br/><b>Beschreibung</b>: Verwendung von Kodierung und Verpackung, um die Analyse zu umgehen."] class obfuscation action masquerading["<b>Aktion</b> – <b>T1036 Verschleierung</b>: Loader getarnt als ein rechtmäßiger Installer mit gängigen Software-Erweiterungen.<br/><b>Beschreibung</b>: Erscheint dem Benutzer und Sicherheitstools harmlos."] class masquerading action %% Knoten – Persistenz persistence_shortcut["<b>Aktion</b> – <b>T1547.009 Verknüpfungsänderung</b>: Erstellt .lnk und .url Dateien im Startordner.<br/><b>Beschreibung</b>: Verbleibt durch Start beim Benutzeranmeldung."] class persistence_shortcut action persistence_task["<b>Aktion</b> – <b>T1053 Geplanter Task</b>: VBA-Skript registriert einen geplanten Task für wiederholte Ausführung.<br/><b>Beschreibung</b>: Führen Sie die Nutzlast in definierten Intervallen aus."] class persistence_task action persistence_init["<b>Aktion</b> – <b>T1037 Anmeldeskripte</b> und <b>T1547.014 Aktive Einrichtung</b>: Ausführen von Skripten beim Benutzeranmeldung über Registrierungsschlüssel.<br/><b>Beschreibung</b>: Sicherstellen, dass Code bei jeder Anmeldung ausgeführt wird."] class persistence_init action hijack_execution["<b>Aktion</b> – <b>T1574 Ausführungsfluss kapern</b>: Reflektive Ladung der bösartigen Nutzlast in den Speicher.<br/><b>Beschreibung</b>: Ausführung ohne Schreibvorgänge auf die Festplatte."] class hijack_execution action %% Knoten – Verteidigungsumgehung defense_virtual["<b>Aktion</b> – <b>T1497 Virtualisierung/Sandbox-Ausweichen</b> und <b>T1497.002 Benutzeraktivitäts-Checks</b>: Erkennt Analyseumgebung und bricht die Ausführung ab.<br/><b>Beschreibung</b>: Vermeidet Sandbox-Erkennung."] class defense_virtual action defense_reflective["<b>Aktion</b> – <b>T1620 Reflektive Code-Ladung</b>: Lädt Code durch Reflexion, um die Aktivität zu verbergen.<br/><b>Beschreibung</b>: Umgeht statische Analysetools."] class defense_reflective action %% Knoten – Befehl und Kontrolle c2_dga["<b>Aktion</b> – <b>T1568.002 Domänengenerierungsalgorithmen</b>: Erzeugt pseudou2011zufällige Domains, die fehlerhafte DNS-Abfragen verursachen.<br/><b>Beschreibung</b>: Bietet dynamische C2-Endpunkte."] class c2_dga action c2_dns["<b>Aktion</b> – <b>T1071.004 DNS-Protokoll</b>: Kommuniziert über DNS-Abfragen und -Antworten.<br/><b>Beschreibung</b>: Verwendet DNS auf Anwendungsebene für C2."] class c2_dns action c2_web["<b>Aktion</b> – <b>T1102 Webdienst</b>: Bidirektionale Kommunikation über HTTPS-Webdienste.<br/><b>Beschreibung</b>: Dient als primärer C2-Kanal."] class c2_web action %% Knoten – Zugriffsberechtigung cred_browser["<b>Aktion</b> – <b>T1555.003 Zugangsdaten von Webbrowsern</b>: Stiehlt gespeicherte Passwörter, Krypto‑Schlüsseldateien und Sitzungsdaten.<br/><b>Beschreibung</b>: Extrahiert Zugangsdaten aus Chrome, Firefox, etc."] class cred_browser action cred_cookie["<b>Aktion</b> – <b>T1550.004 Web-Sitzungscookie</b>: Verwendet gestohlene Cookies als alternatives Authentifizierungsmaterial.<br/><b>Beschreibung</b>: Nutzt gültige Websitzungen erneut."] class cred_cookie action forge_cookie["<b>Aktion</b> – <b>T1606.001 Webzugänge fälschen</b>: Erstellt gefälschte Cookies, um Opfer zu imitieren.<br/><b>Beschreibung</b>: Ermöglicht unautorisierten Zugriff auf Webdienste."] class forge_cookie action %% Knoten – Exfiltration exfil_c2["<b>Aktion</b> – <b>T1041 Exfiltration über C2-Kanal</b>: Sendet gesammelte Daten über den Webu2011dienst-C2.<br/><b>Beschreibung</b>: Daten verlassen das Netzwerk über denselben Kanal, der für Befehl und Kontrolle verwendet wird."] class exfil_c2 action %% Verbindungen – Angriffsfluss init_user_execution –>|führt_zu| loader_autoit init_mal_copy_paste –>|führt_zu| loader_autoit loader_autoit –>|verwendet| obfuscation loader_autoit –>|verschleiert_sich_als| masquerading loader_autoit –>|stellt_her| persistence_shortcut loader_autoit –>|stellt_her| persistence_task loader_autoit –>|stellt_her| persistence_init persistence_shortcut –>|ermöglicht| hijack_execution persistence_task –>|ermöglicht| hijack_execution persistence_init –>|ermöglicht| hijack_execution hijack_execution –>|verwendet| defense_virtual hijack_execution –>|verwendet| defense_reflective hijack_execution –>|verbindet_sich_mit| c2_dga c2_dga –>|löst_auf_über| c2_dns c2_dns –>|kommuniziert_über| c2_web c2_web –>|stiehlt| cred_browser c2_web –>|erfasst| cred_cookie c2_web –>|ermöglicht| forge_cookie cred_browser –>|stellt_bereit| exfil_c2 cred_cookie –>|stellt_bereit| exfil_c2 forge_cookie –>|stellt_bereit| exfil_c2 %% Stilierung class init_user_execution,init_mal_copy_paste action class loader_autoit,obfuscation,masquerading tool class persistence_shortcut,persistence_task,persistence_init,hijack_execution,defense_virtual,defense_reflective,cred_browser,cred_cookie,forge_cookie action class c2_dga,c2_dns,c2_web,exfil_c2 action "
Angriffsfluss
Erkennungen
Mögliche AV-Prozessaufzählung / -Manipulation (über Befehlszeile)
Ansicht
Möglicher AutoHotkey-Skript-Ausführungsversuch (über Befehlszeile)
Ansicht
Ungewöhnliche Erweiterung der ausführbaren Binärdatei (über Prozess Erstellung)
Ansicht
Schtasks zeigt auf verdächtiges Verzeichnis / Binärdatei / Skript (über Befehlszeile)
Ansicht
LOLBAS WScript / CScript (über Prozess Erstellung)
Ansicht
AutoIT-Binärdatei wurde von ungewöhnlichem Ort ausgeführt (über Prozess Erstellung)
Ansicht
Verdächtige Powershell-Strings (über Befehlszeile)
Ansicht
IOCs (Quell-IP), um zu erkennen: LummaStealer nimmt ein zweites Leben neben CastleLoader
Ansicht
IOCs (Ziel-IP), um zu erkennen: LummaStealer nimmt ein zweites Leben neben CastleLoader
Ansicht
Erkennen von LummaStealer- und CastleLoader-Aktivität über Prozesserstellung [Windows-Prozess Erstellung]
Ansicht
Erkennung von bösartigen PowerShell-Einzeilerausführungen [Windows Powershell]
Ansicht
Simulationsausführung
Voraussetzung: Die Telemetrie- & Baseline-Vorabprüfung muss bestanden worden sein.
Begründung: Dieser Abschnitt beschreibt die genaue Ausführung der Angreifertechnik (TTP), die darauf ausgelegt ist, die Erkennungsregel auszulösen. Die Befehle und die Erzählung MÜSSEN direkt die identifizierten TTPs widerspiegeln und darauf abzielen, die genau erwartete Telemetrie von der Erkennung zu erzeugen. Abstrakte oder nicht verwandte Beispiele führen zu Fehldiagnosen.
-
Angriffsnarrativ & Befehle:
- Erster Drop: Der Angreifer erhält Benutzerkontext (z. B. durch Phishing) und verwendet die legitime
explorer.exeProzess, um die bösartige Nutzlast zu starten, die sich auf einem eingebundenen Netzlaufwerk befindet:DeviceHarddiskVolumeXNFSNeed for Speed Hot PursuitSetup.exe. - Persistenz & Launcher: Nachdem die bösartige
Setup.exeläuft, wird ein Batch-Skript (Pros.cmd) im selben Verzeichnis abgelegt. Der Angreifer verwendet danncmd.exe /c copy Pros Pros.cmd & Pros.cmd, um das Skript auszuführen, das zusätzliche Nutzlasten lädt. - AutoIt-Proxy: Gleichzeitig kann der Loader
AutoIt3.exemit einem eingebetteten Skript (V.a3x) aufrufen, um AppLocker zu umgehen. Dies spiegelt dieAuswahl_autoitBedingung wider.
Diese Schritte erzeugen genau die drei Telemetriemuster, die durch die Sigma-Regel erforderlich sind:
explorer.exemit dem festkodierten bösartigen Setup.exe-Pfad, andcmd.exemit/csowie entweder einer Kopier-und-Ausführungs-Kette or einer AutoIt-Ausführung.
- Erster Drop: Der Angreifer erhält Benutzerkontext (z. B. durch Phishing) und verwendet die legitime
-
Regressionstestskript:
# ----------------------------------------------- # LummaStealer / CastleLoader-Simulationsskript # ----------------------------------------------- $maliciousDir = "$env:ProgramDataNFSNeed for Speed Hot Pursuit" $setupPath = Join-Path $maliciousDir "Setup.exe" $batchPath = Join-Path $maliciousDir "Pros.cmd" $autoItPath = Join-Path $maliciousDir "V.a3x" # 1. Erstellen Sie die Verzeichnisstruktur New-Item -Path $maliciousDir -ItemType Directory -Force | Out-Null # 2. Platzieren Sie Dummy-Bösartige Dateien (leere Dateien sind ausreichend zum Loggen) New-Item -Path $setupPath -ItemType File -Force | Out-Null New-Item -Path $batchPath -ItemType File -Force | Out-Null New-Item -Path $autoItPath -ItemType File -Force | Out-Null # 3. Simulieren Sie explorer.exe, dass die bösartige Setup.exe gestartet wird Start-Process -FilePath "explorer.exe" -ArgumentList $setupPath # Kurze Pause, um sicherzustellen, dass das erste Ereignis protokolliert wird Start-Sleep -Seconds 2 # 4a. Lösen Sie die cmd.exe Kopier-und-Ausführungs-Kette aus cmd.exe /c "copy Pros.cmd $batchPath & $batchPath" # 4b. (Alternativ) AutoIt-Ausführung auslösen – auskommentieren, wenn dieser Pfad getestet wird # Start-Process -FilePath "AutoIt3.exe" -ArgumentList $autoItPath # 5. Warten Sie, bis Ereignisse in das SIEM fließen Start-Sleep -Seconds 5 -
Bereinigungskommandos:
# Entfernen Sie alle durch die Simulation erstellten Artefakte Remove-Item -Path "$env:ProgramDataNFS" -Recurse -Force -ErrorAction SilentlyContinue