Анализ тактик российских хакеров в облачной инфраструктуре Lumma Stealer

Российские хакеры используют облачные платформы для распространения Lumma Stealer

Недавние расследования выявили новую тактику, применяемую предполагаемыми российскими хакерами, которые используют надежную облачную инфраструктуру для распространения вредоносного ПО Lumma Stealer. Это вредоносное программное обеспечение как услуга (malware-as-a-service) нацелено на системы Windows и распространяется с помощью сложных методов социальной инженерии и обхода обнаружения.

Облачные хранилища как база для атак

Злоумышленники используют такие облачные сервисы, как Tigris Object Storage, Oracle Cloud Infrastructure (OCI) и Scaleway для размещения поддельных страниц reCAPTCHA. Эти страницы служат для обмана привилегированных пользователей, вынуждая их выполнять вредоносные команды через диалоговое окно запуска Windows.

• В феврале 2025 года злоумышленники особенно активно применяли Tigris Object Storage, перенаправляя жертв на вредоносный контент, замаскированный под страницы верификации пользователей.
• Жертвам предлагалось открыть диалоговое окно запуска и запустить PowerShell-скрипт из буфера обмена, который вызвал mshta.exe для загрузки трояна, маскированного под видеофайл.
• Аналогичные методы позже были замечены в OCI и Scaleway, что свидетельствует о целенаправленном использовании облачных платформ для маскировки атаки.

Использование продвинутых техник обхода защиты

Комплексный подход злоумышленников включает:

• Захват библиотек DLL и внедрение вредоносного кода в легитимные процессы.
• Использование автономных двоичных файлов для слияния вредоносных операций с системными.
• Сканирование систем безопасности с целью выявления и обхода известных антивирусных решений, что позволяет задерживать выполнение вредоносного кода при обнаружении защиты.

Социальная инженерия и маскировка под популярные сервисы

Еще с октября 2024 года злоумышленники применяют вредоносную рекламу для обмана пользователей. Вредоносный Lumma Stealer замаскирован под популярное программное обеспечение, особенно ориентированное на геймеров. В качестве примера была замечена имитация платформы Steam, что делало атаку более убедительной.

Недавние кампании проявляют эволюцию тактики, включая:

• Использование вводящих в заблуждение доменов верхнего уровня.
• Манипуляции с расширениями файлов для сокрытия вредоносной нагрузки.
• Запуск скриптов через mshta.exe с целью скрытого и малозаметного выполнения вредоносных команд PowerShell.

Инфраструктура и происхождение

Анализ используемой инфраструктуры, а также оставленные отечественным языком комментарии во встроенном коде, косвенно указывают на российское происхождение атакующих. Несмотря на это, прямого подтверждения авторства нет.

Эксперты подчеркивают, что обнаруженные методы свидетельствуют о высокой адаптивности операторов кампаний и их способности использовать малозаметные облачные сервисы для долговременного и успешного ведения атак.

Заключение

Эти новые данные подчеркивают важность постоянного совершенствования стратегий обнаружения и предотвращения хакерских атак, а также активное сотрудничество служб безопасности и поставщиков облачных услуг. Только комплексный и проактивный подход позволит эффективно противостоять изощрённым кампаний, которые продолжают эволюционировать и применять современные технологии для обхода защитных механизмов.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.