Lumma Stealer: постоянное подключение к C2 через запланированные задачи

14 января 2026 года аналитики зафиксировали характерный кейс, демонстрирующий изменение тактик вредоносного ПО семейства Lumma Stealer. В ходе расследования было подтверждено использование повторяющихся запланированных задач для поддержания постоянного трафика к одному домену C2, что повышает стойкость атаки и усложняет обнаружение и реагирование.

Что обнаружено

В заражённых системах Lumma Stealer создаёт или модифицирует запланированные задачи, которые регулярно инициируют соединения с тем же доменом C2. Такая схема обеспечивает:

• постоянное подключение к инфраструктуре управления злоумышленников;
• возможность регулярной эксфильтрации данных и запуска дополнительных вредоносных действий;
• насыщение и стабилизацию сетевого трафика в сторону единого домена C2, что затрудняет своевременное обнаружение.

«Повторяющиеся запланированные задачи позволяют злоумышленникам поддерживать устойчивое соединение с инфраструктурой C2 и повышают шансы длительного закрепления в сети», — отмечают эксперты.

Механизм и потенциальные цели атаки

Механизм атаки включает автоматическое создание планировщиком заданий циклов, инициирующих сетевые обращения к заранее определённому домену C2. Последствия такого подхода:

• усиление эффективности коммуникации между стыренным агентом и оператором C2;
• снижение вероятности случайного прерывания связи при перезагрузках или обновлениях системы;
• возможное использование повторяющихся запросов для обхода базовой фильтрации трафика или маскировки под легитимную активность.

Риски для инфраструктуры

Рост трафика к одному домену C2 свидетельствует о высоком уровне закрепления вредоноса в сети. Особенно опасно это для критически важных и уязвимых сред, где постоянный канал связи может привести к продолжающейся утечке данных и эскалации привилегий.

Рекомендации для аналитиков и команд реагирования

Аналитикам и службам безопасности рекомендуется оперативно внедрять комплекс мер по обнаружению и нейтрализации подобных схем:

• Мониторинг создания и изменения запланированных задач в ОС (отслеживать события Task Scheduler — Windows Event IDs 4698 и 4702, а также логи от Sysmon при наличии).
• Анализ сетевого трафика: DNS-запросы, HTTP/HTTPS сессии и netflow, с фокусом на повторяющиеся обращения к известным или недавно выявленным доменам C2.
• По возможности — блокировка доменов и связанных IP-адресов на уровнях DNS, proxy и NGFW.
• Поиск и удаление вредоносных запланированных задач, изоляция и форензика скомпрометированных хостов.
• Проверка учетных данных и привилегий, смена скомпрометированных паролей, ревизия прав доступа и механизмов аутентификации.
• Внедрение детекции поведенческих индикаторов (повторяющиеся краткосрочные соединения к одному домену, аномальная частота DNS-запросов и т.д.).
• Регулярное обновление сигнатур, обмен Threat Intelligence и отслеживание новых IoC, связанных с Lumma Stealer и аналогичными семействами.

Вывод

Зарегистрированный кейс 14 января 2026 года подчёркивает адаптивный характер тактик Lumma Stealer. Использование повторяющихся запланированных задач для концентрации трафика на одном домене C2 повышает риск длительного закрепления в сети и усложняет задачи обнаружения. Оперативный мониторинг подобных артефактов и скоординированные меры реагирования — ключ к снижению последствий атак и ограничению потерь.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.