Lumma Stealer 検出: GitHub インフラを使用して SectopRAT、Vidar、Cobeacon およびその他のマルウェアを拡散する洗練されたキャンペーン

Lummaステイラー、悪名高い情報盗みマルウェアがサイバー脅威の領域で再浮上しました。ディフェンダーは最近、GitHubインフラストラクチャを通じてLummaステイラーを配布する高度な敵対者キャンペーンを発見しました。これには、他のマルウェアバリアント、 SectopRAT, Vidar、Cobeaconを含む。

GitHub経由でデプロイされたLummaステイラー、SectopRAT、Vidar、Cobeaconを検出

Lummaステイラー は悪名高いデータ窃取マルウェアであり、資格情報、暗号通貨ウォレット、システム情報、ファイルを抽出し、敵対者のサーバーに接続してさらなる悪質な行動を可能にします。LummaステイラーのGitHubをベースにした配信に関連する最新のキャンペーンは、他のマルウェアの展開に関する洗練された回避技術と攻撃能力のセットのために、潜在的に影響を受ける組織や個人ユーザーにとって増大する脅威をもたらしています。SectopRAT、Vidar、Cobeaconのような。

SOC Primeプラットフォームは、セキュリティチームを支援するために精選された検出コンテンツのリストを提供します。 侵入をタイムリーに特定し、関連する脅威を積極的に防ぐことができるようにします。クリックして 検出を探索してアクセスしてください。 関連するSOCコンテンツは、 MITRE ATT&CK® フレームワークに沿っており、実用的なCTIと包括的なメタデータで強化されています。

検出を探索

ディフェンダーはまた、対応するリンクを追跡して、関連するタグに基づいた他のSigmaルールを取得することもできます。また、セキュリティチームは、 Lummaステイラー, SectopRAT, Vidar、 Cobeacon 検出を探索し、 Stargazer Goblinの利用するTTPに対処する検出についても調査できます。このグループの行動パターンは、このキャンペーンの背後にいる敵対者のものと重なっています。

Lumma Stealer分析: Stargazer Goblinグループに関連する可能性のある新しいマルウェアキャンペーンの概要

Trend MicroのManaged XDRチームは、新しい洗練された Lummaステイラーを含む攻撃キャンペーンに光を当てました。敵対者は、信頼されたプラットフォームとしてGitHubを利用し、情報盗人を配布し、さらに攻撃的な行動を引き起こす。攻撃者はGitHubのインフラを武器にして最初のアクセスを取得し、安全であるかのように見せかけた有害なURLからファイルをダウンロードするよう犠牲者を誘導します。これらのファイルは、感度情報をステルスに外部C2サーバーに接続し、コマンドを実行しつつ検出を回避します。

ユーザーを騙してLummaステイラーや他のマルウェア群をダウンロードさせるこのキャンペーンは、追加の攻撃ツールの展開を容易にし、複数のディレクトリを作成し、外部流出用データをステージングすることを目的としています。持続性を維持するために、敵対者はPowerShellスクリプトとシェルコマンドを利用します。

このキャンペーンで観察された攻撃者のTTPは、Stargazer Goblinグループに以前関連付けられたものと一致します。このグループは侵害されたウェブサイトやGitHubを利用してペイロードを配布することで知られています。研究により、繰り返されるURLパターンと正規だが侵害されたウェブサイトを利用して犠牲者をGitHubにホストされたマルウェアにリダイレクトすることが明らかになりました。このグループの感染フローへの実験傾向と多様なペイロードの使用は、攻撃者の柔軟性と常に進化する戦術を強調しています。

攻撃チェーンはGitHubにホストされたファイルから始まります。あるユーザーはChrome経由で Pictore.exe をダウンロードし、別のユーザーは App_aeIGCY3g.exeを取得しました。どちらもGitHubのインフラストラクチャに一時的に保管されていました。攻撃用に準備された両方の実行ファイルは、Lumma Stealerとして偽装されているようです。初期のLumma Stealerファイルは、SectopRAT、 Vidar, Cobeacon、他のLumma Stealerバリアントを展開し実行します。これらのファイルは、ランダムに名前付けされ、おそらく動的に生成されたフォルダにtempディレクトリ内に作成され、実行される前に格納されました。Lumma Stealerのイテレーションを含むドロップファイルは、保存された資格情報、セッションのクッキー、自動入力データ、ブラウジング履歴を収集します。また、tempディレクトリに難読化されたPowerShellスクリプトをドロップし、合法的なドメインに接続します。これは、追加のペイロードまたは攻撃者のコマンドを取得する前の接続性チェックである可能性があります。

このキャンペーンで利用されるLumma Stealerのようなサイバー脅威を軽減するために、組織には、ダウンロード前にURLやファイルを検証し、メールリンクや添付ファイルを注意深く検査し、デジタル証明書を確認することが推奨されています。さらに、脅威インテリジェンスの採用、システムのパッチ適用、MFAの有効化、ゼロトラストアプローチの適用は、サイバー脅威への露出を最小限に抑える助けとなります。 集合的サイバー防御のためのSOC Primeプラットフォーム は、企業、MDRに特化した組織、個々の研究者に、最新のマルウェアバリアントや絶えず進化する攻撃ツールを含む高度なサイバー脅威に拡大して対抗するための完全な製品スイートを提供し、SOCチームが強固なサイバーセキュリティ姿勢を構築するのを支援します。