Hizmet Olarak Kötü Şöhretli Bilgi Çalan Kötü Yazılımlar (MAAS) platformu olan Lumma Stealer, Mayıs 2025’te koordineli bir küresel kolluk operasyonundan sonra hızla yeniden ortaya çıktı.
ABD Adalet Bakanlığı, uluslararası ortaklarla birlikte, Lumma’nın idari giriş panelleri de dahil olmak üzere komuta ve kontrol (C&C) altyapısının ayrılmaz bir parçası olarak yaklaşık 2.300 kötü niyetli alan ele geçirdi.
Bu bozulma, enfekte uç noktalar ve eksfiltrasyon sunucuları arasındaki bağlantıları kopardı ve kötü amaçlı yazılımların işlemlerini geçici olarak durdurdu.
Büyük kolluk kuvvetleri
Bununla birlikte, trend micro gibi siber güvenlik firmalarından gelen telemetri verileri hızlı bir diriliş ortaya koyuyor ve hedeflenen hesaplar Mayıs ayında kısa bir dalıştan Temmuz 2025’e kadar kaldırma seviyelerine geri dönüyor.
“Water Kurita” olarak adlandırılan tehdit oyuncusu grubuyla ilişkili birincil geliştirici, XSS gibi yeraltı forumlarındaki ihlali herkese açık bir şekilde kabul ederek sunucularının entegre Dell uzaktan erişim denetleyicisinde (IDRAC) sömürülen bir güvenlik açığına atfetti.
Disklerin ve yedeklemelerin biçimlendirilmesine rağmen, operatörler erişimi geri yükledi, engelli arayüzleri devre dışı bıraktı ve daha gizli taktiklere döndü, bu tür uyarlanabilir tehditlerin kalıcı olarak sökülmesindeki zorlukların altını çizdi.
Lumma Stealer, giriş yapma kimlik bilgileri, kripto para cüzdanları ve özel dosyalar dahil olmak üzere hassas verilerin uzlaşmasında uzmanlaşmış sistemlerden uzmanlaşmıştır.
Erişilebilir bir MAAS aracı olarak pazarlanan, teknik olmayan siber suçlular bile abonelik modelleri aracılığıyla sofistike saldırılar düzenlemeleri için güç verir.
Taahhüt sonrası, kötü amaçlı yazılım altyapısı önemli ölçüde gelişti: operatörler, daha önce meşru içerik dağıtım ağları aracılığıyla C&C sunucularını maskeleyen alan adı obfusation için CloudFlare’ye güvenmeyi azalttı.
Bunun yerine, Selectel gibi Rus tabanlı sağlayıcılara çeşitlenmişler ve veri merkezlerinden uluslararası yayından kaldırma talepleriyle potansiyel olarak daha az işbirliği yapmışlardır.
Ağ telemetrisi, Haziran ayında yeni C&C URL’lerinde bir artışı gösterir, bu da enfekte olan ana bilgisayarlara devam eden veri eksfiltrasyonunu ve komut verilmesini kolaylaştırır.
Gelişen teslimat vektörleri
Son kampanyalar, Lumma’yı çatlak uygulamalar veya anahtar jeneratörler (Keygens) olarak maskelenen korsan yazılım arayışını kullanır.
Kötütülme ve Arama Motoru Optimizasyonu Kurbanları, trafik algılama sistemleri (TDS) aracılığıyla trafiği huni yapan JavaScript yüklü sayfaları barındıran aldatıcı web sitelerine yönlendirir.
Trend Micro Report’a göre, bu sistemler, parola korumalı Lumma indiricileri teslim etmeden önce, genellikle XOR işlemleri aracılığıyla şifrelenen ve disk tabanlı algılamadan kaçmak için bellek içi yürütülen sistemler.
ClickFix kampanyaları, güvenliği ihlal edilmiş sitelere kötü niyetli komut dosyaları enjekte ederek, kullanıcıları PowerShell komutlarını çalıştırmaya yönlendiren ve Lumma yüklerine yol açan çok aşamalı enfeksiyon zincirlerini başlatan sahte captcha zorlukları sunar.
Daha fazla dağıtım, AI tarafından üretilen ReadMe dosyalarına sahip otomatik depoların oyun hilelerini tanıttığı ve sürümlerde “tempspoofer.exe” gibi yürütülebilir dosyaları gömdüğü GitHub kötüye kullanımı yoluyla gerçekleşir.
YouTube ve Facebook da dahil olmak üzere sosyal medya platformları, siteler.google.com gibi meşru ana bilgisayarlarda kötü amaçlı yazılım yüklü sitelere bağlanan temalı videolar ve yayınlar aracılığıyla ulaşmayı güçlendirin.
Bu taktikler, özellikle sınırlı siber güvenlik farkındalığına sahip kullanıcılar arasında insan güvenlik açıklarından yararlanır ve yaygın kimlik gerçeği ve potansiyel fidye yazılımı takiplerini sağlar.
Buna karşı koymak için kuruluşlar, bilinen uzlaşma göstergelerini (IOCS) engelleyen ve tehdit avcılık sorguları sağlayan Trend Vision One gibi uç nokta algılama ve yanıt (EDR) araçlarını dağıtmalıdır.
Anormal C&C trafiği için proaktif ağ izlemenin yanı sıra, kötü niyetli, kimlik avı ve sosyal mühendisliği tanımak için düzenli çalışan eğitimi çok önemlidir.
Lumma’nın operatörleri kaçırma tekniklerini geliştirmeye devam ettikçe, kolluk kuvvetleri ve siber güvenlik varlıkları arasındaki sürekli işbirliği, bu kalıcı Maas tehdidini azaltmak için gerekli olan, yüksek profilli aksamaların bile devam eden uyanıklık olmadan sadece geçici bir soluklama sunduğunu vurgulamaktadır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now