Lumma Stealer 탐지: GitHub 인프라를 활용한 SectopRAT, Vidar, Cobeacon 및 기타 유형의 멀웨어 전파 정교한 캠페인
목차:
Lumma Stealer, 악의적인 정보 탈취 멀웨어로, 사이버 위협 분야에서 다시 등장했습니다. 방어자들은 최근 GitHub 인프라를 통해 Lumma Stealer를 배포하는 고급 적대자 캠페인을 발견했으며, 이와 함께 SectopRAT, Vidar 및 Cobeacon과 같은 기타 멀웨어 변종도 포함됩니다.
GitHub을 통해 배포된 Lumma Stealer, SectopRAT, Vidar, Cobeacon 탐지
Lumma Stealer 은 자격 증명, 암호화폐 지갑, 시스템 세부 정보 및 파일을 추출하면서 추가 악의적 행동을 가능하게 하기 위해 적대자 서버에 연결하는 악명 높은 데이터 탈취 멀웨어입니다. Lumma Stealer의 GitHub 기반 전달과 관련된 최신 캠페인은 복잡한 회피 기술 및 공격 능력을 포함하여 SectopRAT, Vidar, Cobeacon과 같은 기타 멀웨어 배포와 관련하여 조직과 개인 사용자에게 잠재적인 위협을 가하고 있습니다.
SOC Prime Platform은 보안 팀이 해당 위협을 신속하게 식별하고 사전에 방지하도록 돕는 탐지 콘텐츠 목록을 제공합니다. 클릭하여 탐지 탐색하여 관련된 SOC 콘텐츠를 MITRE ATT&CK® 프레임워크와 정밀한 CTI 및 포괄적인 메타데이터로 연결하여 액세스합니다.
방어자들은 관련 태그를 기반으로 Lumma Stealer, SectopRAT, Vidar 및 Cobeacon 탐지를 위한 추가 Sigma 규칙을 얻기 위해 관련 링크를 따를 수 있습니다. 또한, 보안 팀은 Stargazer Goblin 그룹과의 행동 패턴이 이번 캠페인의 적대자들과 겹치는 TTP를 다루는 탐지를 탐색할 수 있습니다.
Lumma Stealer 분석: Stargazer Goblin 그룹과 잠재적으로 연관된 새로운 멀웨어 캠페인의 개요
Trend Micro의 Managed XDR 팀은 새로운 정교한 Lumma Stealer와 관련된 공격 캠페인을 조명했습니다. 적들은 신뢰할 수 있는 플랫폼으로서의 GitHub을 악용하여 스틸러를 배포하며, 그 후 추가 공격을 촉발합니다. 공격자는 GitHub의 인프라를 무기화하여 피해자를 안전한 것처럼 위장된 유해 URL에서 파일을 다운로드하도록 유도합니다. 이 파일들은 은밀히 민감한 데이터를 유출하고 외부 C2 서버와 연결을 설정하여 명령을 실행하며 탐지를 회피합니다.
사용자들이 Lumma Stealer 및 다른 멀웨어 변종을 다운로드하도록 속이는 캠페인은 추가 공격 도구의 배포도 용이하게 하며, 다수의 디렉터리 생성 및 데이터 유출을 위해 데이터를 준비하는 것을 목표로 합니다. 지속성을 유지하기 위해, 적대자들은 PowerShell 스크립트와 Shell 명령을 활용합니다.
이 캠페인에서 관찰된 공격자 TTP는 이미 Stargazer Goblin 그룹과 연관된 것으로 알려져 있으며, 피해자들을 GitHub에 호스팅된 멀웨어로 리다이렉트하기 위해 정품이지만 손상된 웹사이트의 사용과 반복된 URL 패턴을 보여줍니다. 감염 흐름에 대한 실험적 경향과 다양한 페이로드를 사용하는 것은 공격자의 유연성과 지속적으로 진화하는 전술을 강조합니다.
공격 체인은 GitHub에 호스팅된 파일에서 시작됩니다. 한 사용자는 Chrome을 통해 Pictore.exe 를 다운로드했으며, 다른 사용자는 App_aeIGCY3g.exe를 다운로드했습니다. 두 파일 모두 GitHub의 인프라에 일시적으로 저장되어 있었습니다. 두 무기화된 실행 파일이 모두 Lumma Stealer로 위장된 것으로 보입니다. 초기 Lumma Stealer 파일은 SectopRAT, Vidar, Cobeacon, 그리고 또 다른 Lumma Stealer 변종을 포함하여 추가 위협을 배포하고 실행합니다. 이러한 파일은 실행되기 전에 Temp 디렉토리 내에 무작위로 명명된, 아마도 동적으로 생성된 폴더에 만들어졌습니다. Lumma Stealer의 반복을 포함하는 파일은 저장된 자격 증명, 세션 쿠키, 자동 완성 데이터 및 브라우징 기록을 수집합니다. 또한 Temp 디렉토리에 난독화된 PowerShell 스크립트를 떨어트리며, 이는 추가 페이로드 또는 공격자 명령을 조회하기 전에 연결 체크로 추정되어 합법적인 도메인과 접속합니다.
이 캠페인에서 사용된 Lumma Stealer와 같은 사이버 위협을 완화하기 위해, 조직은 다운로드 전에 URL과 파일을 검증하고, 이메일 링크 및 첨부 파일을 주의 깊게 검사하며, 디지털 인증서를 확인할 것을 권장합니다. 또한, 위협 인텔리전스를 채택하고, 시스템을 패치하며, MFA를 활성화하고, 제로 트러스트 접근 방식을 강제시킴으로써 사이버 위협에 대한 노출을 최소화할 수 있습니다. 집단 사이버 방어를 위한 SOC Prime Platform 은 기업, MDR에 중점을 둔 조직, 그리고 개인 연구원들에게 완전한 제품군을 구비하여 새롭게 등장하는 멀웨어 변종과 지속적으로 진화하는 공격 도구를 포함한 고급 사이버 위협을 대응할 수 있도록 합니다. 또한 SOC 팀이 강력한 사이버 보안 태세를 구축할 수 있도록 도와줍니다.
