СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
03.03.2025
#ИБ#Инфра

Расследование угроз: Вредоносное ПО Lumma и его сеть

Расследование угроз: Вредоносное ПО Lumma и его сеть

Источник: intelinsights.substack.com

Недавние исследования в сфере кибербезопасности вновь привлекли внимание к продолжающейся активности семейства вредоносных программ Lumma, в частности, к его разновидности infostealer. В центре расследования оказался поставщик защищенных от вирусов услуг, известный под именем Prospero, функционирующий под номером автономной системы ASN 200593.

Обнаружение вредоносной сети

Точка отсчета для исследования была определена по IP-адресу 91.202.233.155, на котором активно размещается вредоносная программа Lumma infostealer. В результате были выявлены:

  • Около 60 других URL-адресов, размещенных на вредоносном IP-адресе 91.202.233.151.
  • Многие идентифицированные хосты не дали результатов на разведывательных платформах, таких как Censys или Shodan.
  • Предположение о том, что операторы блокируют инструменты сканирования.

Анализ и методология

Исследование ASN 200593 показало, что он в основном используется в вредоносных целях. Это связано с тем, что данный ASN является относительно небольшим, что позволяет использовать альтернативные методы анализа для выявления доменов, связанных с вредоносными хостами.

Для анализа диапазонов IP-адресов использовалась платформа Validin, эффективный инструмент проверки DNS. Основное внимание уделялось:

  • Запросам только доменов с датой «последнего посещения» после 15 февраля.
  • Фильтрации по более чем 880 доменам для уменьшения ложных срабатываний.

Текущие кампании и дальнейшие исследования

Расследование показало, что Lumma участвует в ряде активных кампаний, где используются различные структуры каталогов, имена и исполняемые файлы. В рамках анализа были созданы запросы по каталогам, таким как /1337 и /update, для выявления более подходящих доменов и хостов.

Некоторые результаты были отмечены изолированными средами, что указывает на успешную передачу образцов вредоносного ПО. Этот объем и разнообразие потенциальных угроз в сети, связанной с ASN 200593, являются значительными и требуют дальнейшего анализа.

В ближайшие недели планируется провести дополнительные исследования, чтобы более полно выявить вредоносные кампании, стоящие за Lumma. Это может дать полезную информацию не только о методах работы хакеров, но и о самой инфраструктуре угроз, связанных с этой программой.

Расследование подчеркивает важность понимания не только единичных случаев распространения вредоносного ПО, но и более широкого анализа угроз, связанных с Lumma и ее инфраструктурой.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: