Détection de Lumma Stealer : Campagne sophistiquée utilisant l’infrastructure GitHub pour diffuser SectopRAT, Vidar, Cobeacon et d’autres types de logiciels malveillants
Table des matières :
Lumma Stealer, un logiciel malveillant néfaste spécialisé dans le vol d’informations, refait surface sur la scène des cybermenaces. Les défenseurs ont récemment découvert une campagne d’adversaires avancés distribuant Lumma Stealer via l’infrastructure GitHub ainsi que d’autres variantes de logiciels malveillants, y compris SectopRAT, Vidar, et Cobeacon.
Détectez Lumma Stealer, SectopRAT, Vidar, Cobeacon Déployé via GitHub
Lumma Stealer est un logiciel malveillant notoire spécialisé dans le vol de données, qui extrait les identifiants, les portefeuilles de cryptomonnaie, les détails du système et les fichiers tout en se connectant aux serveurs adverses pour permettre d’autres actions malveillantes. La dernière campagne associée à la livraison de Lumma Stealer basée sur GitHub constitue une menace croissante pour les organisations potentiellement affectées et les utilisateurs individuels en raison d’un ensemble de techniques sophistiquées d’évasion et de capacités offensives impliquant le déploiement d’autres logiciels malveillants, tels que SectopRAT, Vidar et Cobeacon.
La plateforme SOC Prime offre une liste de contenus de détection soigneusement sélectionnés pour aider les équipes de sécurité à identifier les intrusions en temps opportun et à contrecarrer de manière proactive les menaces associées. Cliquez Explorer les Détections pour accéder à du contenu SOC pertinent aligné avec le cadre MITRE ATT&CK® et enrichi avec des CTI exploitables et des métadonnées complètes.
Les défenseurs peuvent également suivre les liens correspondants pour obtenir des règles Sigma supplémentaires pour la détection de Lumma Stealer, SectopRAT, Vidar, et Cobeacon basé sur les tags associés. De plus, les équipes de sécurité peuvent explorer les détections traitant des TTPs utilisés par Stargazer Goblin, le groupe dont les motifs de comportement se chevauchent avec ceux des adversaires derrière cette campagne.
Analyse de Lumma Stealer: Aperçu d’une Nouvelle Campagne de Logiciels Malveillants Potentiellement Liée au Groupe Stargazer Goblin
L’équipe de Managed XDR de Trend Micro a mis en lumière une nouvelle campagne sophistiquée offensive impliquant Lumma Stealer. Les adversaires exploitent GitHub en tant que plateforme de confiance pour distribuer le stealer, qui déclenche ensuite d’autres actions offensives. Les attaquants utilisent l’infrastructure de GitHub pour obtenir un accès initial, attirant les victimes à télécharger des fichiers à partir d’URL nuisibles déguisées en URL sécurisées. Ces fichiers exfiltrent discrètement des données sensibles et établissent des connexions avec des serveurs C2 externes pour exécuter des commandes tout en évitant la détection.
La campagne qui piège les utilisateurs pour qu’ils téléchargent Lumma Stealer et d’autres souches de logiciels malveillants facilite également le déploiement d’outils offensifs supplémentaires et vise à créer plusieurs répertoires et à organiser les données pour l’exfiltration. Pour maintenir la persistance, les adversaires profitent de scripts PowerShell et de commandes Shell.
Les TTP des attaquants observés dans cette campagne s’alignent avec ceux précédemment liés au groupe Stargazer Goblin, connu pour utiliser des sites web compromis et GitHub pour distribuer des charges utiles. La recherche a révélé des motifs d’URL répétés et l’utilisation de sites web légitimes mais compromis pour rediriger les victimes vers des logiciels malveillants hébergés sur GitHub. La tendance du groupe à expérimenter avec les flux d’infection et son utilisation de charges utiles diverses soulignent la flexibilité des attaquants et leurs tactiques en constante évolution.
La chaîne d’attaque commence par des fichiers hébergés sur GitHub. Un utilisateur a téléchargé Pictore.exe via Chrome, tandis qu’un autre a récupéré App_aeIGCY3g.exe, tous deux temporairement stockés sur l’infrastructure de GitHub. Les deux fichiers exécutables armés semblent être déguisés en Lumma Stealer. Les fichiers initiaux de Lumma Stealer déploient et exécutent des menaces supplémentaires, y compris SectopRAT, Vidar, Cobeacon, et une autre variante de Lumma Stealer. Ces fichiers ont été créés dans des dossiers nommés de manière aléatoire, probablement générés dynamiquement, dans le répertoire temp avant d’être exécutés. Un fichier abandonné contenant une itération de Lumma Stealer collecte des identifiants, des cookies de session, des données d’autocomplétion et l’historique de navigation stockés. Il dépose également un script PowerShell obfusqué dans le répertoire temp, qui contacte des domaines légitimes – probablement en tant que vérification de connectivité avant de récupérer des charges utiles ou des commandes d’attaquant supplémentaires.
Pour atténuer les cybermenaces telles que Lumma Stealer exploitées dans cette campagne, il est recommandé aux organisations de valider les URL et les fichiers avant de les télécharger, d’examiner attentivement les liens et les pièces jointes des emails, et de vérifier les certificats numériques. De plus, l’adoption du renseignement sur les menaces, la mise à jour des systèmes, l’activation de la MFA et l’application d’une approche de confiance zéro aident à minimiser l’exposition aux cybermenaces. SOC Prime Platform pour la défense cybernétique collective équipe les entreprises, les organisations axées sur la MDO et les chercheurs individuels d’une suite complète de produits pour dépasser les menaces cybernétiques avancées, y compris les variantes de logiciels malveillants émergents et les outils offensifs en constante évolution, tout en aidant les équipes SOC à construire une posture robuste en cybersécurité.
