Lumma Stealer’ı teslim etmek için Github Altyapısını Taciz Ediyor

   Şubat 1, 2025  Posted in CyberSecurityNews


Lumma Stealer'ı teslim etmek için Github Altyapısını Taciz Ediyor

Siber güvenlik araştırmacıları, Lumma Stealer kötü amaçlı yazılımlarını dağıtmak için GitHub’ın güvenilir sürüm altyapısından yararlanan sofistike bir kampanya ortaya çıkardılar.

Meşru platformları kötüye kullanan siber suçluların büyüyen bir eğiliminin bir parçası olan bu bilgi çalan kötü amaçlı yazılımlar, hassas verileri yayarak ve ek kötü amaçlı yükler dağıtarak önemli riskler oluşturmaktadır.

Saldırganlar, meşru yazılım olarak gizlenmiş kötü amaçlı dosyaları barındırmak için GitHub depolarını kullandı.

Hizmet Olarak Siem

Bir örnekte, kullanıcılar gibi dosyaları indirmek için kandırıldı. Pictore.exe Ve App_aelGCY3g.exe Github ile barındırılan url’lerden.

GitHub Deposundan Kötü Alan Dosyasını ‘Pictore.exe’ indirme (Kaynak – TrendMicro)

Bu dosyalar, Consolhq Ltd ve Verandah Green Limited’den iptal edilmiş sertifikalarla imzalandı ve kötü niyetli olarak işaretlenmeden önce ilk güvenilirlik katmanı ekledi.

Dağıtım için kullanılan URL’ler, gibi parametrelerle önceden imzalanmış bağlantıları içeriyor. X-Amz-Expires=300indirme bağlantılarının yalnızca kısa bir süre için etkin kalmasını sağlamak.

Trend Micro’daki Analsysts, bu taktik sınırlı tespit fırsatlarının kurbanlar için aciliyet duygusu korurken tespit etti.

Kötü amaçlı yazılım özellikleri

Yürütüldükten sonra, Lumma Stealer birkaç kötü amaçlı etkinlik başlatır:-

  1. Veri Defiltrasyonu: Kötü amaçlı yazılım, kimlik bilgilerini, kripto para cüzdanları, tarayıcı verilerini (örn. Çerezler, otomatik doldurma bilgileri) ve yerel sistem yapılandırmalarını hedefler. IP’lerde komut ve kontrol (C2) sunucuları ile iletişim kurar 192[.]142[.]10[.]246 Ve 192[.]178[.]54[.]36 HTTP Gönderi İstekleri kullanma.
  2. Kalıcılık mekanizmaları: Lumma Stealer, kalıcılık oluşturmak için PowerShell komut dosyaları ve kabuk komutları kullanır. Örneğin:
   powershell.exe -NoProfile -NoLogo -InputFormat Text -NoExit ExecutionPolicy Unrestricted -Command

Bu komut, tespitten kaçınırken sınırsız komut dosyası yürütülmesine izin verir.

  1. Yük dağıtım: Kötü amaçlı yazılım, geçici dizinlerde Sectoprat ve Vidar gibi ek araçlar bırakır. Bu araçlar, tarayıcı verilerini çalarak veya enjekte süreçleri ile sistemi de tehlikeye atar.
  2. Dosya Çıkarma: Gibi gömülü yardımcı programları kullanarak nsis7z.dllLumma Stealer, app-64.7z.
‘App-64.7z’ arşivinden çıkarılan dosyalar (kaynak-trendmicro)

Çıkarılan dosyalar gibi bileşenler içerir chrome_100_percent.pak Ve snapshot_blob.binelektron tabanlı uygulamaların kötü niyetli amaçlar için potansiyel kullanımını gösteren.

Çıkarılan Dosyalar (Kaynak – TrendMicro)

Kampanya, GitHub gibi güvenilir platformlardan ve yük yükü dağıtımı için tehlikeye atılan web sitelerini kullandığı bilinen Stargazer Goblin Grubu tarafından kullanılan taktiklerle uyumludur.

Saldırganlar, birden fazla kötü amaçlı yazılım ailesini (Lumma Stealer, Sectoprat, VIDAR) birleştirerek modüler bir saldırı çerçevesini birleştirerek uyarlanabilirlik gösterdi.

Lumma Stealer gibi tehditlere karşı savunmak için, dosyaları indirmeden önce daima URL’leri ve dijital sertifikaları doğrulayın ve yetkisiz kabuk komutlarını tespit etmek için uç nokta güvenlik çözümlerini kullanın.

Bilinen kötü niyetli IP’lerle iletişimin engellenmesi korumayı arttırırken, çalışan eğitimi kimlik avı girişimlerini belirlemeye yardımcı olur.

Ek olarak, sistemleri düzenli olarak yama ve MFA’nın sağlanmasını sağlayan güvenliği daha da güçlendirir.

Uzlaşma göstergeleri

  • Dosya Adları: Pictore.exeApp_aelGCY3g.exe
  • C2 IPS: 192[.]142[.]10[.]24684[.]200[.]24[.]26
  • Kabuk komutları:
   cmd /c copy /b ..\Sen + ..\Silver + ..\Reprints t

Bu, dosyaları hazırlama için bağlar.

Collect Threat Intelligence with TI Lookup to Improve Your Company’s Security - Get 50 Free Request



Source link