Siber suç, Siber Servis AS, Dolandırıcılık Yönetimi ve Siber Suç
Kullanıcı panelleri ve ele geçirilen komut ve kontrol alanları
Akhabokan Akan (Athokan_akhsha), David Perera (@Daveperera) •
21 Mayıs 2025
Kolluk kuvvetleri ve Microsoft, oturum açma kimlik bilgilerini ve finansal verileri çalmak için kullanılan kötü amaçlı yazılımlara karşı bir darbe vurdu, merkezi komut yapısını ve Lumma Stealer’ı kontrol etmek için kullanılan binlerce çevrimiçi alan adını ele geçirdi.
Ayrıca bakınız: Ondemand | Kuzey Kore’nin Gizli It Ordusu ve Nasıl Savaşır
ABD federal kolluk kuvvetleri, kötü amaçlı yazılımları dağıtmak için Storm-2477 tarafından kullanılan beş alan ele geçirdiğini ve kullanıcı panellerini düşürdüğünü söyledi.
Microsoft’un bir organizasyonu, Storm-2477 olarak izliyor, kötü amaçlı yazılımlara ayda 250 ila 1.000 dolar arasında erişim sunuyor. Bir Lumma enfeksiyonu genellikle fidye yazılımı saldırısının bir başlangıcıdır. Birincil geliştiricisi Rusya’da yaşıyor ve bilgi işlem devi, “Shamel” in internet takma adına gidiyor. Storm-2477, müşterileri arasında sayılır, Dağınık Örümcek olarak bilinen ergen hackerları (bkz:: Marks & Spencer Hack’e bağlı dağınık örümcek).
FBI siber bölümüne başkanlık eden Bryan Vorndran, “Siber suçluların faaliyet göstermesini zor ve daha acı verici hale getiriyoruz.” Dedi. Büro, Lumma’nın web tarayıcısı verilerini, otomatik doldurma bilgilerini, e -posta ve bankacılık hizmetlerine erişmek için giriş kimlik bilgilerini ve kripto para birimi tohumu ifadelerini çalmak için kullanıldığı en az 1,7 milyon örnek tespit etti.
Microsoft, bir Atlanta federal mahkemesine, enfekte bilgisayarlarla iletişim kuran komut ve kontrol sunucularını barındırmak için kullanılan yaklaşık 2.400 benzersiz alan tanımladığını söyledi. Şirket, “Lumma’nın altyapısının belkemiğini oluşturan” alan adlarını yaymak ve engellemek için mahkeme izni aldı. Lumma ile enfekte olmuş sistemler, modülleri indirmek ve verileri püskürtmek için C2 sunucularına temasa geçin. Microsoft’un bulunan alanların doksan ikisi telgraf kanalları ve üçü çalma dijital dağıtım hizmetinde barındırıldı.
Microsoft, Mayıs ayı ortalarında Lumma ile enfekte 394.000’den fazla bilgisayarda sona eren iki ay boyunca tespit ettiğini söyledi. “Kötü niyetli araç ve kurbanlar arasında iletişimleri kopardık” dedi. 300 kötü niyetli alan belirlemeye yardımcı olan Europol’un yardımıyla Microsoft, 1.300’den fazla ele geçirilen alanların kötü niyetli trafiğini düden edecek.
FBI ve Siber Güvenlik ve Altyapı Güvenlik Ajansı bir danışmanlıkta Lumma’nın ilk olarak 2022’de Rusça konuşan siber suçlu forumlarında satışa çıktığını söyledi. Siber suçlular, kötü amaçlı yazılımları, mızrak kimlik avı köprüsü ve e-posta eklerinin iyi trod teknikleri aracılığıyla, aynı zamanda çatlak yazılımın sahte versiyonlarına da implante ederek dağıtır. Araştırmacılar, Lumma’yı “nudify” web sitelerine yerleştiren FIN7 olarak izlenen bir siber suçlu grubunu gördüler. Breach Roundup: ai ‘nudify’ siteleri kötü amaçlı yazılım sunuyor).
Microsoft, “Operatörler sürekli olarak tekniklerini hassaslaştırıyor, kötü niyetli alanları döndürüyor, reklam ağlarından yararlanıyor ve operasyonel sürekliliği korumak için meşru bulut hizmetlerinden yararlanıyor.” Başka bir teknik, tehlikeye atılan web sitelerinde sahte captcha zorluklarını içerir. Sahte insan doğrulama testi, kurbanları komutları bir Windows çalışma aracına kopyalayıp yapıştırmaya yönlendirerek Lumma’yı indiren bir dosyanın yürütülmesini sağlıyor. Suçlular ayrıca ClickFix olarak bilinen ve kullanıcıları, gerçekten sadece enfeksiyon için bir yol olan ayrıntılı talimatlar yoluyla sahte bir bilgi işlem problemini “düzeltmeye” vaat ederek kötü amaçlı yazılımları yüklemeye kandırmak için sosyal mühendislik taktiklerini kullanan bir yöntemi de kullanır (bkz: bkz: ClickFix saldırıları giderek daha fazla bilgi çalma enfeksiyonlarına yol açıyor).
Lumma’nın arkasındaki geliştiriciler, bilgi stealer’ı güncel tutmak için acı çekti, Lumma’yı bozmak için kolluk operasyonuna katılan siber güvenlik firması ESET’te araştırmacılar, bir dizi diğer firma ile birlikte yazdı. ESET, “Düzenli olarak, küçük hata düzeltmelerinden dize şifreleme algoritmalarının değiştirilmesine ve ağ protokolündeki değişikliklere kadar düzenli olarak kod güncellemelerini fark ettik.” Dedi. Microsoft, Info Stealer’ın altı farklı sürümünü belirlediğini söyledi.
Windows işletim sistemi için özel olarak tasarlanan Lumma, yerel antivirüs hizmetlerini sonlandırmak da dahil olmak üzere Microsoft güvenlik korumalarını atlayabilir. Microsoft Güvenlik Ürünleri ile ilgili kayıt defteri anahtarlarını silecek şekilde programlanmıştır. En az bir geliştirici olan şirket, Atlanta Court’a verdiği demeçte, Windows API’lerini Lumma’ya dahil etmek için Windows Yazılım Geliştirme Kitini hileli bir şekilde elde etti.
Ayrıca, meşru pencereler de dahil olmak üzere kötü niyetli yükler enjekte etmek için proses boşluğu kullanır. msbuild.exe– regasm.exe– regsvcs.exeVe explorer.exe.