Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten

[post-views]
Januar 31, 2025 · 4 min zu lesen
Lumma Stealer Erkennung: Hochentwickelte Kampagne nutzt GitHub-Infrastruktur zur Verbreitung von SectopRAT, Vidar, Cobeacon und anderen Malware-Arten

Lumma Stealer, eine bösartige, informationsstehlende Malware, taucht erneut in der Cyberbedrohungslandschaft auf. Verteidiger deckten kürzlich eine fortschrittliche Angreiferkampagne auf, die Lumma Stealer über die GitHub-Infrastruktur zusammen mit anderen Malware-Varianten verteilt, einschließlich SectopRAT, Vidar, und Cobeacon.

Erkennen Sie Lumma Stealer, SectopRAT, Vidar, Cobeacon bereitgestellt über GitHub

Lumma Stealer ist eine berüchtigte datenstehlende Malware, die Anmeldedaten, Kryptowährungs-Geldbörsen, Systemdetails und Dateien extrahiert und dabei mit Angreiferservern verbindet, um weitere bösartige Aktionen zu ermöglichen. Die neueste Kampagne im Zusammenhang mit der GitHub-basierten Verteilung von Lumma Stealer stellt für potenziell betroffene Organisationen und Einzelbenutzer eine wachsende Bedrohung dar, da eine Reihe von ausgeklügelten Ausweichtechniken und offensiven Fähigkeiten eingesetzt werden, einschließlich der Bereitstellung anderer Malware wie SectopRAT, Vidar und Cobeacon.

Die SOC Prime Plattform bietet eine kuratierte Liste von Erkennungsinhalten, die Sicherheitsteams helfen , Einbrüche rechtzeitig zu identifizieren und damit verbundene Bedrohungen proaktiv zu vereiteln. Klicken Sie Erkennungen erkunden, um auf relevante SOC-Inhalte zuzugreifen, die dem MITRE ATT&CK® -Framework zugeordnet und mit verwertbaren CTI und umfassenden Metadaten angereichert sind.

Erkennungen erkunden

Verteidiger können auch den entsprechenden Links folgen, um zusätzliche Sigma-Regeln für Lumma Stealer, SectopRAT, Vidar, und Cobeacon Erkennung basierend auf den zugehörigen Tags zu erhalten. Zusätzlich können Sicherheitsteams Erkennungen erkunden, die sich mit TTPs befassen, die von Stargazer Goblin, der Gruppe, deren Verhaltensmuster mit denen der hinter dieser Kampagne stehenden Angreifer übereinstimmen, verwendet werden.

Lumma Stealer Analyse: Überblick über eine neue Malware-Kampagne, die möglicherweise mit der Stargazer Goblin Gruppe verbunden ist

Das Managed XDR-Team von Trend Micro hat Licht auf eine neue, ausgeklügelte offensive Kampagne mit Lumma Stealergeworfen. Angreifer nutzen GitHub als vertrauenswürdige Plattform, um den Stealer zu verteilen, der dann weitere offensive Aktionen auslöst. Angreifer machen sich die Infrastruktur von GitHub zunutze, um initialen Zugang zu erhalten, indem sie Opfer dazu verleiten, Dateien von schädlichen URLs herunterzuladen, die als sichere URLs getarnt sind. Diese Dateien exfiltrieren heimlich sensible Daten und stellen Verbindungen zu externen C2-Servern her, um Befehle auszuführen und gleichzeitig der Erkennung zu entgehen.

Die Kampagne, die Benutzer dazu verleitet, Lumma Stealer und andere Malware-Stämme herunterzuladen, erleichtert auch die Bereitstellung zusätzlicher offensiver Werkzeuge und zielt darauf ab, mehrere Verzeichnisse zu erstellen und Daten für die Exfiltration zu inszenieren. Um Persistenz aufrechtzuerhalten, nutzen Angreifer PowerShell-Skripte und Shell-Befehle.

Die in dieser Kampagne beobachteten TTPs der Angreifer stimmen mit denen überein, die zuvor mit der Stargazer Goblin Gruppe in Verbindung gebracht wurden, bekannt dafür, kompromittierte Websites und GitHub zur Verteilung von Payloads zu nutzen. Die Forschung hat wiederholte URL-Muster und die Nutzung legitimer, aber kompromittierter Websites aufgedeckt, um Opfer zu auf GitHub gehostete Malware umzuleiten. Die Tendenz der Gruppe, mit Infektionsabläufen zu experimentieren und diverse Payloads zu verwenden, unterstreicht die Flexibilität der Angreifer und die sich kontinuierlich entwickelnden Taktiken.

Die Angriffskette beginnt mit auf GitHub gehosteten Dateien. Ein Benutzer lud Pictore.exe über Chrome herunter, während ein anderer App_aeIGCY3g.exeabrief, beide vorübergehend auf GitHub-Infrastruktur gespeichert. Beide bewaffneten ausführbaren Dateien scheinen als Lumma Stealer getarnt zu sein. Die initialen Lumma Stealer-Dateien installieren und führen weitere Bedrohungen aus, darunter SectopRAT, Vidar, Cobeacon und eine weitere Lumma Stealer-Variante. Diese Dateien wurden in zufällig benannten, wahrscheinlich dynamisch generierten Ordnern im Temp-Verzeichnis erstellt, bevor sie ausgeführt wurden. Eine abgelegte Datei, die eine Lumma Stealer-Iteration enthält, sammelt gespeicherte Anmeldedaten, Sitzungscookies, Autofill-Daten und den Browserverlauf. Sie legt auch ein verschleiertes PowerShell-Skript im Temp-Verzeichnis ab, das legitime Domains kontaktiert – wahrscheinlich als Konnektivitätscheck vor dem Abrufen zusätzlicher Payloads oder Angreiferbefehle.

Um Cyberbedrohungen wie die in dieser Kampagne eingesetzten von Lumma Stealer zu mildern, wird Organisationen empfohlen, URLs und Dateien vor dem Herunterladen zu validieren, E-Mail-Links und Anhänge sorgfältig zu überprüfen und digitale Zertifikate zu verifizieren. Darüber hinaus helfen die Implementierung von Bedrohungsintelligenz, das Patchen von Systemen, die Aktivierung von MFA und die Durchsetzung eines Zero-Trust-Ansatzes, die Exposition gegenüber Cyberbedrohungen zu minimieren. SOC Prime Plattform für kollektive Cyberabwehr stattet Unternehmen, auf MDR fokussierte Organisationen und einzelne Forscher mit einer vollständigen Produktsuite aus, um fortgeschrittene Cyberbedrohungen, einschließlich neuer Malware-Varianten und sich kontinuierlich entwickelnder offensiver Werkzeuge, zu übertreffen und gleichzeitig SOC-Teams zu helfen, eine robuste Cybersecurity-Haltung aufzubauen.

Inhaltsverzeichnis

War dieser Artikel hilfreich?

Gefällt es Ihnen, teilen Sie es mit Ihren Kollegen.
Treten Sie der Detection as Code-Plattform von SOC Prime bei um die Sichtbarkeit in Bedrohungen zu verbessern, die für Ihr Unternehmen am relevantesten sind. Um Ihnen den Einstieg zu erleichtern und sofortigen Nutzen zu bieten, buchen Sie jetzt ein Treffen mit SOC Prime-Experten.

Verwandte Beiträge