Hizmet olarak kötü amaçlı yazılım (MaaS) teklifi olan Luma Infostealer, web tarayıcısı çerezleri, kripto para birimi cüzdanları ve VPN/RDP hesap bilgileri gibi yüksek değerli kimlik bilgilerini hedef alan güçlü bir tehdit olarak ortaya çıktı.
Tehdit aktörleri, izole hırsızlığın ötesinde, fidye yazılımı dağıtımı, hesap ele geçirme ve dahili ağ güvenliğinin ihlali gibi karmaşık kampanyaların ilk sızma aşamalarında Luma’yı kullanıyor.
Çalınan veriler kimlik hırsızlığını, finansal dolandırıcılığı ve kurumsal izinsiz girişleri körüklüyor. Uç nokta algılama ve yanıt (EDR) sistemlerini davranış tabanlı algılama ve tehdit istihbaratı entegrasyonuyla güçlendirmek, etkili savunma için kritik öneme sahiptir.
Son yıllarda, bilgi hırsızlığı yapan kötü amaçlı yazılımlar hem bireyler hem de kuruluşlar için birincil yüksek riskli bir vektör haline geldi.
Bu tehditler, kurbanların uç noktalarında gizlice çalışarak hassas bilgileri kullanıcının haberi olmadan topluyor.
Çalınan veriler bir kez elde edildikten sonra karanlık web pazarlarında ticareti yapılıyor ve burada kimlik hırsızlığı ve finansal istismar gibi daha sonraki kötü amaçlı faaliyetlere zemin oluşturuyor.
Genians Güvenlik Merkezi (GSC), Nullsoft Scriptable Install System (NSIS) kullanılarak paketlenen ve dağıtılan bir kötü amaçlı yazılım olan Lumma Infostealer’ı tespit etti.
Organize siber suç grupları, bilgi hırsızlarını yalnızca bağımsız tehditler olarak değil, aynı zamanda fidye yazılımı ve hesap ele geçirme gibi karmaşık saldırıların öncüsü olarak da kullandı; bu da güçlü tespit mekanizmalarına olan aciliyeti artırdı.
Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) Ekosistemi
Hizmet Olarak Kötü Amaçlı Yazılım, saldırganların tam olarak yönetilen kötü amaçlı yazılım platformlarını kiralamasına veya bunlara abone olmasına olanak tanır. Luma Infostealer, karanlık web kanalları aracılığıyla kolay erişilebilirlik ve yüklerin ve komut ve kontrol (C2) bağlantı yöntemlerinin modüler özelleştirilmesiyle bu modelin bir örneğini oluşturuyor.
MaaS sağlayıcıları geliştirmeyi, altyapıyı ve güncellemeleri sürdürürken, kullanıcılar da (teknik becerileri ne olursa olsun) kampanyaları yürütür ve çalınan verileri yeniden satarlar.
Bu model, siber suçlara giriş engellerini azaltır, bağlı kuruluş ağları aracılığıyla saldırı ölçeğini genişletir ve aynı kötü amaçlı yazılımın birden fazla aktör tarafından konuşlandırılması nedeniyle ilişkilendirmeyi karmaşıklaştırır.
Luma, Ağustos 2022’deki ilk çıkışından bu yana Nullsoft Komut Dosyalı Kurulum Sistemi (NSIS) kullanılarak paketleniyor ve kırık yazılım gibi görünen kimlik avı siteleri aracılığıyla dağıtılıyor.
Genian Güvenlik Merkezi tarafından yapılan analiz, çok aşamalı bir enfeksiyon zincirini ortaya koyuyor: NSIS yükleyicileri, parçalanmış AutoIt modüllerini bırakıyor, gizlenmiş kabuk kodunu bellekte yeniden birleştiriyor ve bilgi hırsızını meşru süreçler kisvesi altında çalıştırmak için süreç boşaltmayı kullanıyor.
Sık güncellemeler ve değişken dağıtım URL’leri, geleneksel imza tabanlı algılamayı engelleyerek davranış tabanlı EDR ihtiyacını vurgular. Yukarıdaki siteden bir dosya indirdiğinizde, parola korumalı bir ZIP dosyası kaydedilecektir.
Saldırganlar, IP ve etki alanı filtrelerini atlamak için meşru hizmetlerden yararlanarak, yönlendirme siteleri aracılığıyla kurbanları MEGA gibi bulut depolama platformlarına yönlendirir.
İndirilen NSIS paketi, “setup.exe” paketini açan, parola korumalı bir ZIP içerir.
‘Contribute.docx’ dosyası sahte kod ve karmaşık cmd komutları içeriyor.
Bu yükleyicinin yürütülmesi, dosya bırakma, görev listesi ve findstr kullanılarak güvenlik süreci kontrolleri, CAB çıkarma ve AutoIt yüklerinin yeniden birleştirilmesi gibi bir dizi komut dosyası içeren adımı tetikler ve bunların tümü kötü amaçlı komut dosyasının yürütülmesiyle sonuçlanır.
Luma daha sonra gömülü C2 alanlarının (örn. rhussois) şifresini çözer.[.]su, diadtuky[.]su), tarayıcı kimlik bilgilerini, Telegram verilerini, kripto para birimi anahtarlarını ve uzaktan erişim kimlik bilgilerini sızdırır.
Azaltmalar
Geleneksel antivirüs çözümleri, Luma’nın gizleme ve süreç ekleme tekniklerini tespit etmekte zorlanıyor. Buna karşılık, modern EDR platformları, bellek içi kabuk kodu yürütme, olağandışı süreç boşaltma olayları ve bilinmeyen C2 alanlarına tekrar tekrar yönlendirme gibi şüpheli davranışları belirlemede başarılıdır.
Daha sonra ‘Make.docx’ olarak gizlenen CAB dosyasını çıkarmak için ‘extrac32.exe’yi kullanıyoruz. Bu CAB dosyası daha sonra AutoIt programını oluşturmak için kullanılacak 11 dosya içerir.
Gerçek zamanlı tehdit istihbaratının entegre edilmesi, güvenlik ekiplerinin ortaya çıkan göstergeleri ilişkilendirmesine ve tespit kurallarını hızla uyarlamasına olanak tanır.
Ek olarak kuruluşlar, tüm kritik hesaplar için çok faktörlü kimlik doğrulamayı zorunlu kılmalı, tarayıcılarda kimlik bilgilerinin depolanmasını engellemeli ve yatay hareket veya veri sızıntısını gösteren ağ anormalliklerini izlemelidir.
Luma Infostealer, MaaS tekliflerinin karmaşık saldırı yeteneklerini nasıl demokratikleştirebileceğini, yüksek değerli kimlik bilgilerini riske atabileceğini ve fidye yazılımı ve ağ sızması dahil daha büyük saldırı zincirlerini nasıl kolaylaştırabileceğini gösteriyor.
Bu tehditlere karşı koymak için kuruluşların davranış tabanlı algılama yeteneğine sahip EDR çözümlerini benimsemesi, tehdit istihbaratı beslemelerinden yararlanması ve katı kimlik doğrulama ve izleme politikaları uygulaması gerekir.
Anormal uç nokta davranışlarının tespitine odaklanan ve savunma stratejilerini sürekli güncelleyen güvenlik ekipleri, Luma kaynaklı saldırıları engelleyebilir ve hassas varlıkları kötüye kullanıma karşı koruyabilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.