Cyberseason Global Güvenlik Operasyon Merkezi (GSOC), Lummastealer kötü amaçlı yazılımlar tarafından kötü amaçlı kodlar yürütmek için kullanılan sofistike taktiklere ışık tuttu.
Başlangıçta 2022’de görülen bu Rus tarafından geliştirilen bu Hizmet Olarak Kötü Yazılım (MAAS), Windows sistemlerini hedeflemek için kaçınma tekniklerini sürekli olarak geliştirdi.
Mshta.exe ile ileri kaçış
Lummastealer’ın operatörleri, zararsız bir .mp4 dosyası olarak gizlenmiş uzaktan kumanda kodunu yürütmek için meşru bir Windows yardımcı programı olan Microsoft HTML Uygulama Ana Bilgisayarının (MSHTA.EXE) kullanılmasını içeren yeni bir teknik sundu.
.png
)
Bu yaklaşım, kötü amaçlı yükleri gizli bir şekilde sunmak ve yürütmek için güvenilir sistem süreçlerinden yararlanır.
Kötü amaçlı yazılım, kullanıcıları Windows Run iletişim kutusuna bir komut dosyasını kopyalamak ve yapıştırmak için sosyal olarak mühendislik yapmak için sahte bir captcha sayfası kullanır.
Burada MSHTA.EXE, tarayıcının güvenlik bağlamının dışında çalıştırılan ve böylece birçok güvenlik önlemini atlayan HTML Uygulamaları (HTA) dosyalarının yürütülmesini kolaylaştırır.
Uzaktan barındırılan ve bir MP4 dosyası olarak gizlenen yük, ağır bir şekilde gizlenmiş JavaScript kodu içerir.
Bu kod, yürütüldüğünde bir dizi deobfuscation adımı tetikler. Başlangıçta, kod çözüldükten sonra bir PowerShell komut dosyasını ortaya çıkaran altıgen kodlu bir yük içerir.
Bu komut dosyası daha sonra, kötü amaçlı yazılımların sonraki aşamalarının dağıtılmasına izin veren sınırsız yürütme politikalarına sahip PowerShell kullanılarak çalıştırılır.
Lummastealer, en son varyantında antimal yazılım tarama arayüzünü (AMSI) atlamak için bellek enjeksiyon tekniklerini kullanır.
Bellek bölgelerini tarar, AMSI imzasını bulur ve algılama özelliklerini geçici olarak devre dışı bırakmak için null bayt dizisiyle üzerine yazar.
Rapora göre, bu adım, güvenlik alarmlarını tetiklemeden potansiyel olarak zararlı komut dosyaları yürütmek için çok önemlidir.
Darknet Pazarı ve Para Kazanma
Lummastealer operatörleri, çalınan kullanıcı verilerinin otomatik işlemleri için bir bottan (@LU **** bot) bir dahili pazar kurdu.
Bu platform, bir satıcı derecelendirme sistemi, gelişmiş arama özellikleri ve esnek fiyatlandırma gibi özelliklere sahiptir ve bu da onu siber suçlular arasında popüler bir seçimdir.
Pazar, faaliyette bir artış gördü, günlükler fiyatı 0,10 $ ‘dan 1.000 $’ a kadar değişen ve doğrudan çalınan verilerin para kazanması için kapsamlı kullanımını gösterdi.
Başlangıçtan beri Lummastealer için aylık güncellemelerin analizi, Ağustos 2024’te günlük pazarlarının açılmasından sonra kalkınmadan para kazanmaya odaklanmada önemli bir değişim gösteriyor.
Bu değişim, piyasa operasyonlarının kolaylaştırılması ve geliştirilmesine yönelik vurgu ilerledikçe daha az güncelleme ile karakterizedir.
Lummastealer’ın operasyonlarının bu ayrıntılı maruziyeti, siber tehditlerin sürekli evriminin altını çizerek, bu tür sofistike kötü amaçlı yazılım kampanyalarına karşı korunmak için sürekli uyanıklık ve gelişmiş güvenlik önlemleri gerektirir.
Uzlaşma Göstergeleri (IOCS)
Aşağıda, Lummastealer enfeksiyonlarının tespitine ve önlenmesine yardımcı olmak için Cyberseason tarafından paylaşılan uzlaşma göstergeleri tablosu:
| IOC | Tip | Tanım |
|---|---|---|
| Klipderiq[.]mağaza | İhtisas | C2 |
| kontrol etmek[.]qlkwr[.]com | İhtisas | C2 |
| 172[.]67[.]144[.]135 | Ivır zıvır | C2 |
| 104[.]21[.]224 | Ivır zıvır | C2 |
| Xian[.]Klipderiq[.]mağaza | İhtisas | C2 |
| daha basit[.]dünya | İhtisas | C2 |
| … | … | … |
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!