Rilevamento di Lumma Stealer: Campagna Sofisticata Utilizzando l’Infrastruttura di GitHub per Diffondere SectopRAT, Vidar, Cobeacon e Altri Tipi di Malware
Indice:
Lumma Stealer, un nefasto malware per il furto di informazioni, riemerge nell’arena delle minacce informatiche. I difensori hanno recentemente scoperto una campagna avanzata di avversari che distribuiscono Lumma Stealer attraverso l’infrastruttura GitHub insieme ad altre varianti di malware, inclusi SectopRAT, Vidar, e Cobeacon.
Rileva Lumma Stealer, SectopRAT, Vidar, Cobeacon Distribuiti tramite GitHub
Lumma Stealer è un malware noto per il furto di dati che estrae credenziali, portafogli di criptovalute, dettagli di sistema e file mentre si connette ai server degli avversari per consentire ulteriori azioni dannose. L’ultima campagna associata alla consegna basata su GitHub di Lumma Stealer rappresenta una minaccia crescente per le organizzazioni potenzialmente colpite e per gli utenti individuali, a causa di un insieme di sofisticate tecniche di evasione e capacità offensive che coinvolgono il dispiegamento di altri malware, come SectopRAT, Vidar e Cobeacon.
La piattaforma SOC Prime offre un elenco curato di contenuti di rilevamento per aiutare i team di sicurezza a identificare le intrusioni in modo tempestivo e sventare proattivamente minacce correlate. Clicca Esplora Rilevamenti per accedere a contenuto SOC pertinenti allineati con il framework MITRE ATT&CK® e arricchiti con CTI azionabili e metadati completi.
I difensori possono anche seguire i collegamenti corrispondenti per ottenere regole Sigma aggiuntive per Lumma Stealer, SectopRAT, Vidar, e Cobeacon rilevamento basato sui tag associati. Inoltre, i team di sicurezza possono esplorare i rilevamenti che affrontano i TTP utilizzati da Stargazer Goblin, il gruppo i cui modelli di comportamento si sovrappongono a quelli degli avversari dietro questa campagna.
Analisi Lumma Stealer: Panoramica di una Nuova Campagna Malware Potenzialmente Collegata al Gruppo Stargazer Goblin
Il team Managed XDR di Trend Micro ha fatto luce su una nuova sofisticata campagna offensiva che coinvolge Lumma Stealer. Gli avversari sfruttano GitHub come piattaforma di fiducia per distribuire lo stealer, che successivamente innesca ulteriori azioni offensive. Gli attaccanti armano l’infrastruttura di GitHub per ottenere l’accesso iniziale, inducendo le vittime a scaricare file da URL dannosi mascherati da sicuri. Questi file esfiltrano furtivamente dati sensibili e stabiliscono connessioni con server C2 esterni per eseguire comandi mentre evitano la rilevazione.
La campagna che inganna gli utenti nel scaricare Lumma Stealer e altri ceppi di malware facilita anche il dispiegamento di ulteriori strumenti offensivi ed è mirata a creare multiple directory e prelevare dati per l’esfiltrazione. Per mantenere la persistenza, gli avversari sfruttano script PowerShell e comandi Shell.
I TTP degli attaccanti osservati in questa campagna sono in linea con quelli precedentemente collegati al gruppo Stargazer Goblin, noto per l’uso di siti web compromessi e GitHub per distribuire payload. La ricerca ha rivelato modelli URL ripetuti e l’uso di siti web legittimi ma compromessi per reindirizzare le vittime a malware ospitati su GitHub. La tendenza del gruppo a sperimentare flussi di infezione e l’uso di payload diversificati evidenziano la flessibilità degli attaccanti e le tattiche in continua evoluzione.
La catena di attacco inizia con file ospitati su GitHub. Un utente ha scaricato Pictore.exe tramite Chrome, mentre un altro ha recuperato App_aeIGCY3g.exe, entrambi temporaneamente archiviati sull’infrastruttura di GitHub. Entrambi i file eseguibili armati sembrano essere mascherati come Lumma Stealer. I file iniziali di Lumma Stealer distribuiscono ed eseguono minacce aggiuntive, inclusi SectopRAT, Vidar, Cobeacon, e un’altra variante di Lumma Stealer. Questi file sono stati creati in cartelle con nomi randomici, probabilmente generati dinamicamente, all’interno della directory temp prima di essere eseguiti. Un file rilasciato che contiene l’iterazione di Lumma Stealer raccoglie credenziali memorizzate, cookie di sessione, dati di compilazione automatica e cronologia di navigazione. Rilascia anche uno script PowerShell offuscato nella directory temp, che contatta domini legittimi, probabilmente come verifica di connettività prima di recuperare payload aggiuntivi o comandi degli attaccanti.
Per mitigare le minacce informatiche come Lumma Stealer sfruttate in questa campagna, si raccomanda alle organizzazioni di convalidare URL e file prima del download, ispezionare attentamente i collegamenti e gli allegati delle email e verificare i certificati digitali. Inoltre, adottare l’intelligence sulle minacce, applicare patch ai sistemi, abilitare MFA, e imporre un approccio zero-trust aiuta a ridurre l’esposizione alle minacce informatiche. La piattaforma SOC Prime per la difesa informatica collettiva equipaggia imprese, organizzazioni focalizzate su MDR e ricercatori individuali con un insieme completo di prodotti per contrastare le minacce informatiche avanzate, comprese le varianti di malware emergenti e gli strumenti offensivi in continua evoluzione, aiutando i team SOC a costruire una solida postura di sicurezza informatica.
