Yüksek bahisli siber suçlar dünyasında, çok az araç Lumma Infostealer kadar dikkat çekti.
Güçlü bir Hizmet Olarak Kötü Yazılım (MAAS) teklifi olarak ortaya çıkan Lumma, hem bireyler hem de işletmeler üzerindeki geniş kapsamlı etkisi nedeniyle kötü şöhrete ulaştı.
Ana işlevi, tarayıcı kimlik bilgilerinden kripto para birimi cüzdanı verilerine kadar olan hassas bilgileri toplamaktır-sadece düşük seviyeli siber suçlular arasında değil, aynı zamanda dağınık örümcek ve coralraider gibi ileri kalıcı tehdit (APT) gruplarının cephanelerinde de tercih edilen bir silah yapmaktır.
.png
)
Infostealer’ın dağıtım kanalları modern kötü amaçlı yazılımlarda tipiktir: kötü niyetli e -posta ekleri, çatlak yazılım indirmeleri ve yeraltı forumu reklamları.
Mayıs 2025’te Hope, Europol, FBI, Microsoft ve ortakları Lumma’nın altyapısını sökmek için büyük ölçekli bir operasyon düzenlediği gibi ufukta parladı.
Çaba, yaklaşık 2.500 ilişkili alanın el konulmasına ve Lumma’nın Komuta ve Kontrol (C2) sunucularının ve yönetim panolarının geçici kesintisine yol açtı.
.webp)
Kullanıcılar karanlık web forumlarına akın etti, kayıp erişimini bildirdi ve operatörleri gemiyi terk etmekle suçladılar.
Ancak, Check Point analistlerinin yakında tanımlandığı gibi, kampanya Lumma’nın temel yeteneklerini tamamen ortadan kaldırmadı.
Altyapısının çoğu-özellikle Rusça barındırılan C2 sunucuları-operasyonun beyni hızla iyileşme çabalarına başlamasına izin vererek bozulmamıştı.
Belki de en çok anlatan Check Point araştırmacıları, yayından kaldırma operasyonundan sonraki günlerde, Lumma’nın geliştiricilerinin kamuoyu beyanları yayınladığını ve Telegram aracılığıyla bağlı kuruluşlara normal operasyonların geri yüklendiğini gözlemledi.
Büyük tutuklama doğrulanmadı ve Infostealer’ın arka ucuna erişim hızla yeniden kuruldu. Bununla birlikte, olay Lumma’nın itibarına önemli bir darbe aldı, siber suç topluluğundaki birçoğu geleceğini ve güvenilirliğini sorguladı.
Bu aksiliklere rağmen, kanıtlar Lumma’nın yenilmekten uzak olduğunu gösteriyor. Çalınan kimlik bilgileri, yayından kaldırma işleminden sonraki bir hafta içinde 95 günlükten 400’den fazlaya kadar büyüyen otomatik telgraf bot pazarlarında görünmeye devam etti.
.webp)
Lumma için Rus dil yönetim panelleri erişilebilir ve işlevsel kaldı, bu da itibar veya operasyonel hasardan bağımsız olarak geliştiricilerin “her zamanki gibi iş yapmak” için kararlı bir baskıya işaret ediyor.
Enfeksiyon ve iyileşme mekanizmaları
Lumma’nın esnekliğinin arkasındaki temel faktör, sağlam enfeksiyon ve iyileşme mekanizmasıdır. Altyapı hedeflenirken, Check Point’in analizi kötü amaçlı yazılımların hızla uyarlama ve yeniden konuşlandırma yeteneğini vurgular.
Lumma’nın enfeksiyon süreci basit bir damlalıkla başlar: tipik olarak meşru yazılım olarak gizlenmiş veya mızrak aktı kampanyalarında paketlenmiş kötü amaçlı bir yürütülebilir, hedef sisteme teslim edilir.
Yürütme üzerine, tarayıcıları numaralandırmak, kimlik bilgisi mağazalarını bulmak ve verileri sunmak için standart Windows API çağrılarını kullanır – genellikle minimum sistem ayak izi ile.
Ancak Lumma’yı ayıran şey, geri dönüş stratejisidir. Kötü amaçlı yazılım yapılandırması, genellikle ikili içinde sabit kodlanmış ve kaçırma için şifrelenmiş birden çok C2 uç noktasından geçmesini sağlar.
Bir C2 sunucusu düşerse, Lumma minimum gecikme ile yeni iletişim kanalları oluşturabilir.
Check Point analistleri tarafından ayrıştırılan ilgili bir kod parçacığı, bu dönen C2 mantığını gösterir:-
import random
def get_active_c2(servers):
random.shuffle(servers)
for server in servers:
if is_reachable(server):
return server
return NoneBu yaklaşım kalıcı bağlantı sağlar ve yayından kaldırma çabalarını önemli ölçüde karmaşıklaştırır.
Ayrıca, kolluk eyleminin ardından, Lumma’nın operatörlerinin IDRAC gibi harici yönetim arayüzlerini kaldırdıkları bildiriliyor – bu, uzaktan yönetim için açıkça kullanılan ve bu durumda uzlaşma için sömürüldü – sistemi gelecekteki sızmaya karşı destekliyor.
Kötü amaçlı yazılımların arka ucunu hızla geri yükleme ve yeniden yapılandırma yeteneği, ticari olarak işletilen bir hizmet olarak statüsüyle hizalanır, müşteri için çalışma süresi ve sürekli destek vaat eder.
Özetle, kolluk kuvvetleri Lumma Infostealer’ın operasyonlarına önemli bir darbe vururken, geliştiricilerinin teknik karmaşıklığı ve operasyonel çevikliği, işe hızlı bir şekilde devam etmelerini sağladı.
Check Point’in devam eden izleme gösterdiği gibi, tehdit aktörleri ve savunucular arasındaki mücadele, özellikle sadece altyapı yerine itibar söz konusu olduğunda, aşırıdır.
Tehdit istihbarat aramasıyla tehdit araştırmalarını hızlandırın ve zenginleştirin! -> 50 Deneme Arama İsteği