Lumma Stealer 멀웨어 탐지: 해커들이 유튜브 채널을 악용하여 변종 멀웨어를 유포하다

최근 사이버 보안 보고서에 따르면 해커들이 유튜브 채널을 이용해 Lumma 악성코드 변종을 확산시키는 일련의 공격이 드러났습니다. Lumma 악성 코드의 변종은 민감한 데이터를 훔치기 위해 설계되었으며, 2022년부터 주목을 받아왔습니다. 이는 해킹 웹사이트에서 적대자들에 의해 활발히 홍보되었으며 지속적으로 여러 업데이트와 개선을 거쳐 왔습니다.

이 블로그 기사는 Lumma Stealer 분석에 대한 통찰을 제공하고, 악명 높은 악성코드 변종의 확산을 사전에 차단하기 위해 방어자들이 사용할 수 있는 관련 탐지 알고리즘 목록을 제공합니다.

Lumma Stealer 악성코드 탐지

매일 사이버 보안 전문가들은 발견합니다 약 560,000개의 새로운 악성 코드 사례를 기존의 10억 개 이상의 악성 소프트웨어 프로그램에 추가합니다. 사이버 범죄자들이 제기하는 지속적으로 증가하는 위협과 함께 조직은 신뢰할 수 있는 도구를 사용하여 공격의 위험을 사전에 식별하고 적시에 방어해야 합니다.

최신 Lumma Stealer 캠페인에 연관된 악성 활동을 탐지하기 위해, 사이버 방어자들은 SOC Prime 플랫폼에 나열된 선별된 탐지 알고리즘 컬렉션을 확인할 수 있습니다. 모든 탐지는 광범위한 위협 인텔리전스, 공격 타임라인 및 추가 메타데이터와 함께 제공됩니다. 또한 모든 규칙은 28개의 SIEM, EDR, XDR, Data Lake 솔루션과 호환 가능하며 MITRE ATT&CK 프레임워크 v14에 매핑되어 있습니다. 아래의 탐지 탐색 버튼을 누르고 SOC Prime의 위협 탐지 마켓플레이스.

탐지 탐색

에 집계된 규칙 세트를 심층적으로 확인하세요.lummastealer 및 lumma 태그를 통해 SOC Prime 플랫폼에서 제공되는 전용 탐지 스택을 탐색 함으로써 Lumma 악성코드 활동과 관련된 공격을 탐지할 수 있습니다.

Lumma Stealer 악성코드 분석

2024년 1월 8일에 FortiGuard Labs는 Lumma Stealer 유지 관리자의 최신 캠페인에 관한 연구를 발표했습니다. 적대자들은 Lumma 악성코드 배포를 위해 유튜브 채널을 악용합니다. 유사한 적대자 패턴은 2023년 초봄에도 발견되었습니다. 유튜브 비디오는 흔히 TinyURL과 Cuttly와 같은 인기 있는 서비스로 단축된 해로운 URL을 포함하는 방법으로 악성코드를 확산시키는데 사용될 수 있습니다. 크랙 소프트웨어와 관련된 콘텐츠를 제공하는 것은 공격자에게 크랙 애플리케이션을 공유하는 형태의 비디오 업로드를 허용하는 초록불을 켜줄 수 있습니다.

Lumma Stealer는 주로 시스템 데이터, 암호 화폐 지갑, 브라우저 및 브라우저 애드온을 대상으로 하는 C 기반 악성코드입니다. Lumma Stealer는 탐지를 회피하기 위해 암호화 기법을 사용합니다. 이 악성코드는 C2 서버와 통신을 하여 명령교환 및 도난 데이터를 전송할 수 있습니다. 2022년부터 Lumma Stealer는 해킹 포럼과 텔레그램을 통해 광고되었으며, 운영 중인 10여 개 이상의 C2 서버 및 일련의 악성 코드 업데이트를 통해 강화되었습니다.

공격의 초기 단계에서, 공격자들은 크랙 소프트웨어를 공유하는 척 동영상을 게시하기 위해 유튜브 사용자 계정을 타겟합니다. 비디오 설명에는 해로운 URL이 포함되어 피해자를 악성 콘텐츠가 포함된 ZIP 파일 다운로드로 유인합니다. 특히 이 무기화된 아카이브는 지속적으로 업데이트되며, 이는 이러한 적대적 방법이 악성코드를 배포하는데 얼마나 효과적인지를 보여줍니다. 결국 LNK 파일이 PowerShell을 통해 GitHub에서 .NET 실행 파일을 다운로드하도록 트리거됩니다. 정교한 .NET 로더는 환경 점검, 다중 안티 가상 머신, 안티 디버깅 기능으로 강화되어 있습니다. 그 결과, 악성 로더가 최종 페이로드로 Lumma Stealer를 확산시킵니다.

Lumma 악성코드 완화 조치로서 잠재적으로 방어자들은 의심스러운 애플리케이션 소스를 다룰 때 끊임없이 신중을 기하며 신뢰할 수 있고 안전한 소스의 합법적인 소프트웨어에만 의존할 것을 권장합니다.

활용하기

는 탐지 엔지니어링을 위한 오픈 소스 IDE로서, 보안 팀은 관련 위협 정보 소스로부터 자동으로 맞춤형 IOC 쿼리를 생성하여 몇 초 안에 위협을 검색함으로써 IOC 매칭을 간소화할 수 있습니다. 는 탐지 엔지니어링을 위한 오픈 소스 IDE로서, 보안 팀은 관련 위협 정보 소스로부터 자동으로 맞춤형 IOC 쿼리를 생성하여 몇 초 안에 위협을 검색함으로써 IOC 매칭을 간소화할 수 있습니다., an open-source IDE for Detection Engineering, security teams can streamline IOC matching by automatically generating custom IOC queries from relevant threat intel sources to search for threats in a matter of seconds.