Enfeksiyon zinciri ve yükseltme taktikleri maruz kaldı


Sofistike bir C ++ tabanlı bilgi çalma olan Lumma, son yıllarda yaygınlıkta arttı ve tarayıcı kimlik bilgileri, kripto para cüzdanları ve kişisel dosyalar gibi hassas verileri ortaya çıkararak hem bireyler hem de kuruluşlar için önemli riskler oluşturdu.

Aralık 2022’den beri geliştirilen ve katmanlı aboneliklere sahip telgraf kanalları aracılığıyla Hizmet Olarak Kötü Yazılım (MAAS) olarak dağıtılan Lumma, ihlalleri kolaylaştırmak için sızdırılmış kimlik bilgilerini veya kimlik avı kampanyalarını kullanan başlangıç erişim brokerlerine (IAB) dayanmaktadır.

ENISA’ya göre, IAB’ler modern saldırı zincirlerinde genellikle fidye yazılımı işlemleriyle zincirleyen kritik bir bağlantı oluşturur.

Lumma Şifre Stealer
Geliştirici ile Soru -Cevap

Tehdit manzarası

2025 yılında ABD Adalet Bakanlığı, Europol ve Japonya’nın siber suçu tarafından Lumma’nın altyapısını ele geçiren ve Microsoft Tehdit Zekası başına Mart ve Mayıs 2025 arasında 394.000’den fazla enfekte pencere cihazını belirleyen büyük bir aksamaya rağmen, kötü amaçlı yazılım devam ediyor, EVADE tespitine taktikleri uyarlıyor.

Tamamen tespit edilemez (FUD) durumu zorunlu paketleme yoluyla korunur, çekirdek yükün çalışma zamanına kadar gizlenmesini sağlar ve siber manzaradaki infostealer tehditlerinin gelişen doğasını vurgular.

Şubat 2025’te gözlemlenen analiz edilen Lumma örneği, DOS ve PE başlıklarını kontrol ederek kendi PE yapısını doğrulayan, RWX izinleri için VirtualProtect ve CallWindowProca’yı yürütme için CallWindowProca kullanarak çözen 32 bit .NET/C# yükleyici ile başlar.

Lumma Şifre Stealer
Meclis’in adı, “Amaç”

Bu aşama, create_suspended bayraklarla CreateProcessw aracılığıyla askıya alınmış bir süreç ortaya çıkarır, anualLocex ile bellek tahsis eder ve PE bölümlerini (.text, .rdata, .data, .Reloc) eşleştirerek enjekte eder, ardından setthrocessemory kullanarak hedef sürece göre, uzaktan kınama için.

Derinlemesine enfeksiyon zinciri

Rapora göre, ambalajlanmamış aşama kontrol akışı düzleşmesi, cennetin NTreaseHarderror gibi syscall’lar için x86 ve x64 modları arasında geçiş yapma ve 20 baytlık bir imza ve OS diline karşı dosya bütünlüğü doğrulaması dahil uçuş öncesi kontroller kullanır (Rus sistemleri hariç tutulur.

Post-checks, NTDLL, Kernel32, User32, WS2_32 ve WinHttp’den PEB ayrıştırma ve karma tabanlı arama yoluyla API’lerin çözülmesini, Chacha20 ile C2 alanlarının şifresini (örneğin, “ACT = Yaşam”) başlatmayı (örneğin, “ACT = Yaşam”), HTTP portu 443 üzerinden Winhtps 443 üzerinden Winhtp port 443’ün Winhtps üzerinden WinThps Port 443’ü başlatmayı içerir.

Bu çok aşamalı zincir, Withecure’un katmanlı algılama yaklaşımında belirtildiği gibi, atomik göstergeler yerine davranışsal modellere odaklanarak EDR’den kaçınır.

Lumma’nın taktikleri, imzaya dayalı savunmalar üzerindeki davranışsal izlemeyi vurgulayarak gelişmiş tehdit avına olan ihtiyacın altını çiziyor.

Yükleyicileri dış kaynak kullanımı ve ambalaj gerektirerek, tarayıcı verilerinin eksfiltrasyonu yanal hareket ve kimliğe bürünmeyi mümkün kılar.

Savunucular, benzer infostaler’ları bozmak için PE başlık manipülasyonu ve Syscall istismarı gibi gelişen TTP’leri izlemeli ve IAB-fasilitasyonlu ihlalleri azaltmak için sağlam kimlik bilgisi yönetimi ve uç nokta güvenliği sağlar.

Find this News Interesting! Follow us on Google News, LinkedIn, & X to Get Instant Updates!



Source link