2025’in başlarında, Lummastealer, telekom, sağlık, bankacılık ve pazarlama dahil olmak üzere birçok endüstri sektöründe kurbanları hedefleyen siber suçlular tarafından yaygın olarak kullanıldı.
Mayıs ayında kapsamlı bir kolluk operasyonu tüm bunları ani bir durmaya getirdi. Sessiz bir dönemden sonra, şimdi Lummastealer’ın yeni varyantlarının ortaya çıktığını görüyoruz.
Bu yeniden ortaya çıkma ışığında, bu makale Netskope’un cephaneliğinde yeni ve yeni Lummastealer varyantlarını tespit etmek için sahip olduğu araçlardan birini ortaya koymaktadır.
Ocak 2025’te Netskope Tehdit Laboratuvarı bir Lummastealer kampanyası gözlemledi ve teslimat mekanizmalarını ve TTP’lerini belgeledi.
Bu analiz detaylı sahte captchas, kötü niyetli arşivler ve çok aşamalı ambalajlama teknikleri. Bu ilk açıklamadan bu yana, tehdit aktörleri gizleme katmanlarını geliştirerek algılamayı daha zor hale getirdi.
Bu blog yazısına odaklanmamız yeni bir Lummastealer örneği (karma: 87118baadfa7075d7b9d2aff75d8e730) ve Netskope AI laboratuvarları tarafından kullanılan ML güdümlü algılama stratejisidir.
ML tabanlı algılama yaklaşımı
Netskope’un gelişmiş tehdit koruma platformu, statik imzaları AI ve makine öğrenimi ile çalışan dinamik, sanal alan tabanlı analizlerle birleştirir.
Çok katmanlı mimarimiz, hem satır içi hızlı taramalarda hem de derin taramalarda ML modelleri uygular. Şüpheli dosyalar, ayrıntılı çalışma zamanı davranışının kaydedildiği izole edilmiş bir Windows Bulut Sandbox’ta patlatılır:
- API çağrıları ve DLL etkileşimleri ile ağaçları işleyin.
- Kayıt Defteri Değişiklikleri.
- Dosya işlemleri.
- Ağ etkinliği.
Transformatör tabanlı bir model, hiyerarşik proses ağacını, ağaç konumsal kodlamaları ile geliştirilmiş bir düğüm eklemeleri dizisi olarak yutur.
Aynı zamanda, çalışma zamanı davranış etkinlikleri – kayıt yazıyor, dosya oluşturma, giden bağlantılar – vektörleştirildi.
Modelin ağaç transformatör katmanları karmaşık düğümler arası desenleri yakalarken, davranışsal vektörler anormal eylemleri vurgular.
Bu gömleleri kaynaştırarak, sistem daha önce görülmemiş kötü amaçlı yazılımları işaretleyerek bilinen örneklere aşırı uyumu önler.
Yürütüldüğünde, Lummastealer örneği hem işlem ağacı ayak izi hem de davranış vektörlerinde yüksek anomali skorlarını tetikledi. Bu, patentli ağaç transformatör tabanlı algılama gücümüzün gücünü doğruladı, yeni gizleme katmanlarına rağmen dosyayı kötü niyetli olarak ortaya çıkardı.
Analiz edilen numune, Nullsoft Scriptable Install Sistemi (NSIS) yükleyicisidir. NSIS formatları, tehdit aktörlerinin meşru kurulumcuların kisvesi altında özel komut dosyalarını paketlemesine ve başlatmasına izin verir. Easy (Die) algılama ile yapılan denetim NSIS biçimini doğruladı ve gömülü otomatik komut dosyalarını ortaya çıkardı.
7-ZIP ile çıkarıldıktan sonra iki madde ortaya çıktı:
- [NSIS].NSI: Gizli bir toplu iş dosyası çağıran gizlenmiş bir NSIS betiği
Parish.m4a. - Parish.m4a: Daha fazla yük lekesi barındıran gizlenmiş bir toplu dosya.
NSIS komut dosyası toplu dosyayı çağırır ve bu da yeniden adlandırılır autoit3.exe ve ilişkili u.a3x senaryo. . u.a3x Dosya, zaman döngüsü ve anahtar davası gizlemesi kullanan kötü amaçlı bir otomatik komut dosyası içerir. Temel özellikler şunları içerir:
- Çevre Kontrolleri: Doğrulur
COMPUTERNAMEbilinen sanal alan etiketlerine karşı (tz–NfZtFbPfH–ELICZ) VeUSERNAMEtest hesaplarına karşı. - Anti-Debugging: Yavaş veya enstrüman yürütmeyi tespit etmek için zamana dayalı kurcalama tespiti.
- Anti-analizi: kukla bir alana ping atma girişimleri; Başarılı olursa (bir analist ortamını gösterir), tepsi simgesini kendi kendine belirler veya gizler.
- DLL Untooking: Kritik NTDLL.DLL işlevlerinin orijinal baytını geri yükler (örn.,
NtCreateProcess) Güvenlik kancalarını atlamak için.
Kalıcılık ve yükü açma
Kalıcılık başlatarak elde edilir cmd.exe aracılığıyla CreateProcessWyaratma .url Girişte bir JScript sarmalayıcı çalıştıran Windows başlangıç klasöründe kısayol. Sargı oluşturur Wscript.Shell Otomatik yükü yeniden yürütmek için.
Kaçma ve anti-analiz teknikleri nedeniyle, örnek başlangıçta ilk sunumunda Virustotal (9/73) üzerinde çok düşük bir algılama oranı sergilemiştir.
Sonraki aşama yük, bellekte lz sıkıştırılmıştır. Kendinden tanımlanmış bir şifre çözme rutini iki işlev kullanır: biri anahtar haritalama için, diğeri dekompresyon için. Son olarak, Windows API RtlDecompressFragmentWindows LZ formatı ile (0x2) Bellekte yürütülebilir bir PE’yi açtı. Aktif olmayan bir C2 nedeniyle, bu aşamanın daha derin analizi mümkün değildi.
Netskope’un Gelişmiş Tehdit Koruması, örneği aşağıdaki algılama kodlarıyla işaretledi:
- Win32.Exploit.Generic: Geniş İmza Kapsamı.
- Gen.Detect.by.nscloudSandbox.tr: Sandbox tabanlı algılamanın göstergesi.
Bulut Sandbox ekran görüntüsü, ML modelinin sofistike, yeni tehditlere karşı etkinliğini sergileyen 87118BAADFA7075D7B9D2AFF75D8E730 örneğinin başarıyla tespit edildiğini doğruladı.
Lummastealer operatörleri gelişmeye devam ediyor, savunmalardan kaçınmak için meşru araçlar ve katmanlı gizlilikten yararlanıyor.
Bu yeniden diriliş, statik analiz, dinamik kum havuzu ve ML ile çalışan tespiti entegre eden gelişmiş tehdit koruma çözümlerine yönelik kritik ihtiyacın altını çizmektedir.
Birçok enfeksiyon zinciri son kullanıcı etkileşimi ile başladığından, kuruluşlar ayrıca kullanıcı farkındalığı eğitimine öncelik vermelidir. Netskope, Lummastealer kampanyalarını izlemeye devam edecek ve TTP’leri geliştikçe zamanında güncellemeler sunacak.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.