СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
25.08.2025
#ИБ#Инфра

LummaStealer: PowerShell‑скрипты и пуленепробиваемый хостинг AS61432

LummaStealer: PowerShellскрипты и пуленепробиваемый хостинг AS61432

Недавний анализ методов доставки вредоносного ПО выявляет устойчивые проблемы в обнаружении и отслеживании новой инфраструктуры угроз. Исследование подтверждает, что злоумышленники всё чаще используют размещённые скрипты PowerShell, которые служат промежуточными ссылками для последующей загрузки и выполнения вредоносного ПО в многоэтапных атаках. Несмотря на усилия правоохранительных органов и крупную операцию по удалению LummaStealer в мае 2025 года, семейство LummaStealer по-прежнему активно и остаётся предпочтительным инструментом для многих киберпреступных группировок.

Ключевые выводы

  • Злоумышленники используют размещённые PowerShell-скрипты как «якорь» для многоступенчатой доставки вредоносного ПО.
  • Несмотря на майский takedown LummaStealer, его инфраструктура продолжает функционировать и развиваться.
  • Наблюдаемые IP-адреса 185.156.72.96 и 185.156.72.2 связаны с AS61432, которое, по имеющимся данным, выступает как bulletproof hosting для операций LummaStealer.
  • Эксперименты с альтернативным malware в июне не повлияли на доминирование LummaStealer — семейство остаётся укоренившимся в ландшафте угроз.

Механизм доставки: почему PowerShell — удобный инструмент злоумышленников

Размещённые PowerShell-скрипты действуют как лёгкие и гибкие загрузчики: они размещаются на публичных или слабо контролируемых ресурсах и по ссылке выполняют загрузку следующего этапа — часто уже шифрованного или обфусцированного бинарника. Такая многоступенчатая модель затрудняет детектирование на ранних стадиях и усложняет трассировку источника атаки.

Инфраструктура и индикаторы

Анализ указывает на продолжение операций LummaStealer через устойчивую инфраструктуру:

  • IP-адреса: 185.156.72.96 и 185.156.72.2 — отмечены как компоненты Command and Control (C2).
  • AS: AS61432 — предположительно функционирует как bulletproof hosting, предоставляющий «приют» для C2-инфраструктуры и хостинга вредоносных артефактов.
  • Временная динамика: май 2025 — крупная операция по удалению; июнь — эксперименты с альтернативным malware, не смещающие LummaStealer с лидирующих позиций.

«Инфраструктура LummaStealer и методы доставки по-прежнему активно используются, что отражает продолжающуюся эволюцию киберугроз и сложности, связанные с борьбой с ними», — отмечают авторы анализа.

Последствия для практической кибербезопасности

Ситуация подчёркивает несколько важных моментов:

  • Блокировка отдельных серверов недостаточна: использование bulletproof hosting и быстро сменяемых скриптов требует системного подхода к устранению C2-инфраструктуры и координации с хостинг-провайдерами и правоохранительными органами.
  • Многоступенчатые сценарии затрудняют традиционные сигнатурные методы обнаружения — необходимы эвристики и поведенческий анализ.
  • Даже после воздействия на инфраструктуру остаётся риск быстрого восстановления и повторного развёртывания угрозы.

Рекомендации

  • Внедрить мониторинг и анализ подозрительных PowerShell-вызовов, включая экранное логирование команд и параметров, а также контроль выполнения удалённых скриптов.
  • Блокировать и отслеживать упомянутые IP-адреса (185.156.72.96, 185.156.72.2) и рассмотреть фильтрацию/контроль трафика, связанного с AS61432, где это возможно в рамках законодательства и корпоративной политики.
  • Развернуть EDR/NGAV-решения с поддержкой поведенческого анализа и дешифровки обфусцированного PowerShell-кода.
  • Разрабатывать YARA/IOCs и оперативно обмениваться ими через trusted threat intelligence-пулы и ISAC/ISAO.
  • Обеспечить сегментацию сети, минимизацию принципа привилегий и контроль удалённых подключений для снижения риска латерального перемещения.
  • Координироваться с хостинг-провайдерами и правоохранительными органами при обнаружении инфраструктуры C2 для оперативного takedown и уменьшения времени жизни угрозы.

Заключение

Сценарии с размещёнными PowerShell-скриптами и использование bulletproof hosting демонстрируют, что злоумышленники адаптируются быстрее, чем успевают реагировать расследования и takedown-операции. LummaStealer остаётся заметным примером: даже после вмешательств остаётся высокая вероятность его возрождения. Современная кибербезопасность требует сочетания технических средств обнаружения, оперативного обмена информацией и скоординированных действий между частным сектором и государственными структурами.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: