Lumma Infostealer bağlı kuruluşlarının karmaşık işletim çerçevesi, 22 Ağustos 2025’te yayınlanan çığır açan bir raporda Insikt Group tarafından ortaya çıktı ve siber suç operasyonlarını desteklemek için en son kaçış teknolojilerine güvenlerini vurguladı.
2022 yılından bu yana, hizmet olarak önemli bir kötü amaçlı yazılım (MAAS) platformu olan Lumma kötü amaçlı yazılımı, anonimlik ve kalıcılık için gelişmiş araçlar kullanan merkezi olmayan bir bağlı kuruluş ağı tarafından desteklenen tarayıcılardan, kripto para cüzdanlarından ve sistem kimlik bilgilerinden veri açılmasını kolaylaştırır.
Lumma Infostealer ekosisteminin açıklanması
Mayıs 2025’teki kolluk kuvvetlerinin aksamalarına rağmen, Lumma’nın ekosistemi, son nokta güvenliği ve ağ izlemeden kaçınmak için en son vekilleri, VPN’leri ve anti-tespit tarayıcılarını entegre etmek için dikkate değer bir esneklik, hızla yeniden inşa edilmektedir.
İştirakler, PIA Proxy ve Ghostsocks gibi konut proxy hizmetlerinden yararlanır, bu da IP’nin tehlikeye atılmasını sağlayan, kurban kökenlerini taklit etmesine ve coğrafi işleme veya çerez bazlı savunmaları atlamaya izin veren IP’lik botlar boyunca maskelenmeyi sağlar.
Bu entegrasyon, ekspresvpn ve nordvpn gibi VPN sağlayıcılarına, yunus ve OCTO gibi, çoklu hesaplama yönetim için dijital parmak izlerini manipüle eden ve yayından kaldırma ortalarında operasyonel sürekliliği sağlayan anti-tespit tarayıcılarla uzanır.
Rapor, bu aktörlerin Hector’un Crypting ve Wustsoit kitleri gibi hizmetler aracılığıyla nasıl dış kaynak kullandıklarını, e-posta ağ geçitlerini ve Windows Defender gibi antivirüs motorlarını atlatabilen .xll veya makro özellikli belgeler gibi formatlarda tamamen tespit edilemez (FUD) yükler üretiyor.
Bağlı kuruluş çeşitlendirme
Lumma iştirakleri, tespit veya altyapı nöbetlerinden kaynaklanan riskleri azaltmak için Vidar, Stealc ve Meduza dahil olmak üzere birden fazla infosterer’ı eşzamanlı olarak dağıtarak operasyonel çeviklik sergiler, böylece kimlik bilgisi hasadı ve finansal veri hırsızlığındaki başarı oranlarını artırır.
2024’ün ikinci yarısını 2025’in ortalarına kadar kapsayan Insikt Group’un soruşturması, bağlı kuruluşların XSS, istismar ve Lolzteam gibi yeraltı forumlarında, Rus piyasası gibi otomatik dükkanlar aracılığıyla otomatik dükkanlar aracılığıyla yeraltı verileri gibi yeraltı forumlarında yer alan forumlarda yer alan forumlardan yararlanmak için bağlı kuruluş kılavuzlarından, kötü amaçlı yazılım istihbaratlarından ve kimlik günlüklerinden yararlanmaktadır.
Bu platformlar, kripto para ödemeleri ile yayından kaldırma dirençli VP’ler ve RDP hizmetleri sunan, botnetlere, kimlik avı ve spam’a toleranslı bir ortam teşvik eden AnonRDP ve HostCay gibi sağlayıcılardan kurşun geçirmez barındırma elde etmek için hub görevi görür.
İştirakler, AI tarafından üretilen kimlik avı sayfaları için kimlik bilgisi doğrulama için 1.4.0.9 ve DonusSef gibi, WG-Gezucht gibi platformlarda gayrimenkul sahtekarlığı gibi dolandırıcılık gibi dolandırıcılıkları kolaylaştıran aldatıcı kiralık programları uygun hale getiren aldatıcı kiralık planları içeren aletler ile daha da artırır.
Tespit kaçakçılığı, satıcı paylaşımı olmadan kötü amaçlı yazılım taraması için Kleenscan gibi hizmetlere ve OTP bypass için OnlineIn gibi sanal SMS sağlayıcıları, gizlemeye katmanlı bir yaklaşımın altını çiziyor.
Analiz, ngioweb botnet IPS ve gayrimenkul dolandırıcılığı ile bağlantılı Blackowl23 gibi belirli bağlı kuruluşları ve standartlaştırılmış Lumma çerçevesinde kişiselleştirilmiş taktikleri gösteren STEALC panellerini kullanarak acı çeken gibi diğer iştirakleri tanımlar.
İleriye baktığımızda, Insikt Group, bağlı kuruluşların kripto para odaklı nişlere ve şifreli mesajlaşmaya dönüşen, ilişkilendirmeyi karmaşık hale getirerek sürekli evrimi öngörüyor.
Savunucular, çalışanların kötüverizasyon ve tıklama saldırıları konusunda eğitim eğitimi ile birlikte YARA, Sigma ve Snort kurallarını uygulamaya devam ederken, sürekli kolluk kuvvetleri ve istihbarat çabaları bu esnek tehdit manzarasına karşı koymak için gerekli olmaya devam etmektedir.
Bu soruşturma, Lumma’nın Infostealer Maas’ta bir öncü olarak rolünü altüst ederek, acılardan hızla geri dönen merkezi olmayan siber suç ağlarını örneklendiriyor.
Uzlaşma Göstergeleri (IOCS)
| Tip | Gösterge |
|---|---|
| Ngioweb ip adresleri | 38[.]91[.]107[.]2 |
| Ngioweb ip adresleri | 38[.]91[.]107[.]229 |
| Ngioweb ip adresleri | 51[.]83[.]116[.]4 |
| Ngioweb ip adresleri | 66[.]29[.]129[.]52 |
| Ngioweb ip adresleri | 67[.]213[.]210[.]115 |
| Ngioweb ip adresleri | 67[.]213[.]212[.]50 |
| Ngioweb ip adresleri | 162[.]210[.]192[.]136 |
| Ngioweb ip adresleri | 174[.]138[.]176[.]77 |
| Ngioweb ip adresleri | 174[.]138[.]176[.]78 |
| Ngioweb ip adresleri | 195[.]154[.]43[.]189 |
| Ngioweb ip adresleri | 209[.]159[.]153[.]19 |
| Ngioweb ip adresleri | 212[.]83[.]137[.]94 |
| Ngioweb ip adresleri | 212[.]83[.]138[.]186 |
| Ngioweb ip adresleri | 212[.]83[.]138[.]245 |
| Ngioweb ip adresleri | 212[.]83[.]143[.]103 |
| Ngioweb ip adresleri | 212[.]83[.]143[.]118 |
| Ngioweb ip adresleri | 212[.]83[.]143[.]159 |
| Ngioweb ip adresleri | 212[.]83[.]143[.]191 |
| Lumma SA-256 | B8e02f2bc0fbb42e8cf28e37a26d8d825f639079bff948f8dbababbab6440e5630 |
| Meduza Paneli | hxxp: // 195[.]133[.]18[.]15/auth/giriş |
| Stealc paneli | hxxp: // 94[.]232[.]249[.]208/6A6Fe9d70500Fe64/Main.php |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!