Демонтаж Lumma Stealer: Совместная борьба с MaaS-угрозой 2024
Источник: www.bitsight.com
С середины 2024 года компания Bitsight принимает участие в масштабной операции по демонтажу операционных возможностей Lumma Stealer (также известного как LummaC2) — одного из наиболее распространённых вредоносных программ, работающих по модели «Вредоносное ПО как услуга» (Malware-as-a-Service, MaaS). Это решение стало ключевым в борьбе с новым поколением инфокрадов, пришедших на смену таким известным вредоносам, как Redline и Meta.
Популярность и технические особенности LummaC2
Lumma Stealer дебютировал в конце 2022 года и с тех пор приобрёл значительную популярность среди киберпреступников благодаря регулярным обновлениям и удобному пользовательскому интерфейсу. Вредоносная программа ориентирована на операционные системы Windows начиная с 32-разрядной версии Windows 7 и вплоть до 64-разрядной Windows 11.
Специализация LummaC2 — кража конфиденциальных данных из различных программ и сервисов:
- браузеры;
- менеджеры паролей;
- VPN-клиенты;
- FTP-клиенты;
- облачные сервисы;
- криптовалютные кошельки.
Важно отметить, что вредонос сервер легко адаптируется под задачи извлечения данных из любых дополнительных источников, что делает его весьма гибким инструментом в руках злоумышленников.
Инфраструктура и методы противодействия
Операторы LummaC2, включая известного под псевдонимами, например, Shamel, постоянно совершенствуют инфраструктуру. Программа использует многоуровневую архитектуру командно-контрольных серверов (C2), в которой:
- основной уровень состоит из часто меняющихся забитых в код жёстко доменов;
- резервный канал связи построен на скрытых доменах, внедрённых в URL-адреса профилей Steam с применением обфускации, включая шифры ROT;
- для распространения контролирующих доменов активно применяются Telegram-каналы (в отчёте упомянуто 93 таких канала).
Совокупность этих методов обеспечивает вредоносной программе высокий уровень устойчивости к попыткам ее блокировки и демонтажа. К примеру, анализ показал использование более 1000 основных доменов командного управления.
Скоординированные усилия Microsoft и партнёров
Ведущее подразделение Microsoft по борьбе с цифровыми преступлениями вместе с Bitsight, а также с поддержкой частных и государственных структур реализовало скоординированные действия, позволившие захватить свыше 1000 доменов, связанных с Lumma Stealer. Кроме того, закрыто более 90 Telegram-каналов и профилей в Steam, которые использовались для управления распространением вредоноса.
Эти меры в значительной степени нарушают инфраструктуру LummaC2, создавая препятствия для дальнейшего функционирования вредоносного ПО.
Перспективы и возможные сценарии развития
Эксперты предупреждают, что, несмотря на значительный урон, нанесённый инфраструктуре Lumma Stealer, некоторые киберпреступники могут попытаться адаптироваться:
- изменить свою позицию на рынке вредоносных услуг;
- перейти к разработке новых стратегий перенацеливания;
- попытаться использовать возникшую пустоту для захвата позиций.
Bitsight намерена продолжать мониторинг активности, связанной с Lumma Stealer, отслеживая любые признаки возрождения или эволюции угрозы в ответ на предпринятые действия.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
