Главная страница » Индикаторы компрометации
0
9 дней
Индикаторы компрометации

Инфраструктура Lumma Stealer: новый анализ показывает концентрацию вредоносных ресурсов

Stealer

Несмотря на усилия правоохранительных органов, операторы вредоносного ПО Lumma Stealer продолжают активную деятельность, постоянно создавая новые домены для распространения вредоносного ПО и управления командными серверами. Последнее исследование инфраструктуры злоумышленников выявило характерные закономерности в размещении ресурсов, что создает возможности для их обнаружения.

Описание

Расследование началось с домена nonsazv[.]qpon, идентифицированного как командный сервер Lumma C2. Домен размещен на IP-адресе, зарегистрированном на Aeza (ASN 210644) - провайдера, известного предоставлением «пуленепробиваемого» хостинга. Это сразу указало на потенциал для дальнейшего анализа.

Поскольку злоумышленники часто генерируют множественные домены по схожим шаблонам именования, исследование продолжилось на платформе URLScan с поиском доменов в зоне .qpon в сочетании с указанным ASN. Поиск выявил 7 уникальных доменов, использующих серверную технологию nginx/1.24.0 (Ubuntu).

Анализ доменов показал, что большинство из них размещены на IP-адресе 46.28.71.142, принадлежащем ROUTE95 GREEN FLOID LLC (ASN 8254). С помощью платформы Validin удалось расширить перечень и выявить на этом же хосте 320 доменов, большинство из которых уже помечены как связанные с Lumma. Среди них преобладают домены в зонах .top, .xyz, .qpon и .ru.

Единственным исключением из первоначального списка стал домен bac-bank[.]qpon, размещенный на 217.156.66[.]212 (ASN 48753, Ava Host Srl). На этом IP-адресе не удалось найти точек для дальнейшего анализа - ни сертификатов, ни хешей, ни отпечатков JARM.

Следующим этапом стало изучение цепочки заражения. Как установлено, она начинается с ZIP-архива, содержащего вредоносный код Lumma, который затем взаимодействует с командными серверами. Анализ файлов, связанных с распространением malware, привел к идентификации дополнительных индикаторов компрометации.

Ключевым элементом расследования стал анализ IP-адреса 172.86.89.51. С ним связано более 350 вредоносных доменов, следующих аналогичным шаблонам именования. Дальнейший анализ с использованием отпечатков сертификатов выявил 12 новых находок - IP-адресов, на которых размещены домены, соответствующие первоначальной гипотезе, и которые взаимодействуют с файлами, связанными с Lumma. Значимо, что среди этих находок оказался и исходный IP-адрес размещения доменов .qpon (46.28.71.142).

Применение аналогичной логики к оставшимся IP-адресам привело к идентификации ресурсов, размещенных у хостинг-провайдеров Routerhosting и Proton66. Как отмечалось ранее, злоумышленники часто развертывают ресурсы у одних и тех же провайдеров, что упрощает их кластеризацию.

Для дополнительного подтверждения гипотезы о концентрации инфраструктуры у этих провайдеров было проведено расширенное исследование на основе индикаторов, обнаруженных в ZIP-архиве, распространяющем вредоносное ПО. Полученные данные четко демонстрируют связь, указывающую на использование злоумышленниками специфической инфраструктуры для данной кампании.

Проведенное расследование показывает, что операторы Lumma Stealer часто полагаются на сконцентрированную инфраструктуру, что делает возможным их кластеризацию. Активное использование специфических автономных систем, таких как Aeza, Routerhosting и Proton66, создает возможности для обнаружения, несмотря на постоянную ротацию доменов. Остаются неисследованными такие аспекты, как выбор времени регистрации доменов, временные метки первого появления и соседние IP-адреса, что может стать темой для последующего анализа.

Индикаторы компрометации

IPv4

  • 107.189.16.163
  • 144.172.106.140
  • 144.172.106.54
  • 172.86.89.51
  • 217.156.66.15
  • 45.61.165.8
  • 46.28.71.142
  • 46.28.71.42
  • 46.28.71.89

Domains

  • 51.89.86.172.static.cloudzy.com
  • abgzg.xyz
  • actmwtn.my
  • aculpr.xyz
  • advancgtos.shop
  • advebikp.beer
  • aegiqlfb.xin
  • agnioysz.xyz
  • airmcjr.top
  • airsttu.top
  • angucccg.lat
  • anizwlg.xyz
  • annalqut.xin
  • antiqez.shop
  • antvu.xyz
  • anzkb.xyz
  • apothfya.qpon
  • aqaibak.xyz
  • argentiy.top
  • arnolfv.top
  • arraeyg.top
  • arsetca.lat
  • aryxnw.xyz
  • assalafuz.lat
  • asseppn.forum
  • assixny.xyz
  • atlgqc.xyz
  • atomihc.xyz
  • bac-bank.qpon
  • backbx.shop
  • bandmetw.qpon
  • basmsz.xyz
  • battrf.xyz
  • bavmv.xyz
  • bca-bank.top
  • beyxm.xyz
  • blolln.xyz
  • bloodydi.xin
  • blotzm.xyz
  • bluyypff.xyz
  • boifse.shop
  • bokcgjf.xyz
  • bowikth.xyz
  • bowmzf.xyz
  • bowoqur.xyz
  • boxmc.xyz
  • boysvf.xyz
  • breevtf.asia
  • britnuq.xyz
  • briznu.club
  • brunsmmv.qpon
  • burahrmp.forum
  • butaqud.xyz
  • callbacywo.xyz
  • callhawj.top
  • caltgc.xyz
  • canpnh.xyz
  • capxw.xyz
  • carptrvo.shop
  • casszroj.forum
  • catachq.xyz
  • cemeepv.xyz
  • censukpy.xyz
  • centjp.xyz
  • chokei.top
  • citriadn.xin
  • clethde.top
  • clgsh.xyz
  • clirujf.xyz
  • cobxlm.xyz
  • coedxz.xyz
  • colikvl.pics
  • colonj.xyz
  • columuyr.xin
  • contnm.xyz
  • coqqxn.xyz
  • coshas.top
  • countrnncn.xyz
  • couplpx.top
  • crimod.xyz
  • crosske.top
  • crowfza.xyz
  • crowngm.xyz
  • cryixfy.top
  • cryymd.xyz
  • danglaz.lol
  • danglyu.pics
  • darkibn.top
  • deangp.xyz
  • decmzf.xyz
  • deesczj.top
  • delazvf.forum
  • depjjda.xyz
  • detru.xyz
  • dicyth.xyz
  • didli.xyz
  • dimxmof.asia
  • disunu.xyz
  • doneusb.xyz
  • downbmn.xyz
  • easzxy.top
  • eboknt.xyz
  • ebuinwgs.forum
  • echimdi.xyz
  • electis.xyz
  • ellipmea.top
  • empizjqe.xyz
  • enreqflj.forum
  • epidebg.top
  • epsvy.top
  • erthezi.my
  • ethnugm.xyz
  • excalcf.top
  • exodhr.xyz
  • exodjhbn.top
  • eyermug.xyz
  • fantpx.xyz
  • fecymm.xyz
  • ferzja.xyz
  • fetaokt.xyz
  • figueqhk.xin
  • fireqk.top
  • firzjogp.xyz
  • flamiwf.top
  • flirtn.lol
  • fritron.xyz
  • frowjyx.top
  • fruiunp.qpon
  • frustreghm.xyz
  • fullnjd.xyz
  • furifli.xyz
  • galeuqqi.xyz
  • garexqz.xyz
  • gasguip.xyz
  • gatrzjhc.forum
  • geczs.xyz
  • geglrx.xyz
  • genhqq.xyz
  • genuscliyt.top
  • genusdfg.qpon
  • genusie.xyz
  • ghogqcav.xyz
  • glittmb.xyz
  • grab.arktk.xyz
  • greexlx.beer
  • gregmhy.lol
  • guerp.xyz
  • gumkq.xyz
  • guttexq.xyz
  • harmrvw.xyz
  • hatsalnm.forum
  • heartp.top
  • herwxtx.xyz
  • heryam.xyz
  • hickcsp.xyz
  • horavd.xyz
  • hotrocce.xin
  • htsfhtdrjbyy1bgxbv.cfd
  • hyduwkvd.forum
  • hyphap.lat
  • id-bca.top
  • idrnmk.top
  • ifimthere.com
  • iliafmoj.forum
  • imaahsxi.xyz
  • immkay.xyz
  • inapcads.lat
  • inchapxe.xin
  • ineyay.xyz
  • infiuyr.asia
  • inflvy.xyz
  • invertdbdi.top
  • inveuy.top
  • irrbi.xyz
  • iscouzfya.top
  • jaizmf.top
  • keevg.top
  • kiddykk.xyz
  • kinwlyo.xyz
  • kletkamozga.ru
  • koubmjm.my
  • kuwtpt.xyz
  • lakxd.xyz
  • lasbmt.xyz
  • lawrfuys.xyz
  • leftlam.xyz
  • leojbl.xin
  • leptsqpz.xyz
  • letfp.shop
  • leutjm.xyz
  • linexb.top
  • liqz.lat
  • litaneq.top
  • lixkyf.xyz
  • luntpi.xin
  • lutraqdb.qpon
  • magneri.pics
  • malvuqr.xyz
  • markwbp.xyz
  • maroui.xyz
  • marsefx.top
  • masor.xyz
  • mastwin.in
  • maszgn.club
  • materdvc.beer
  • matkdpy.xyz
  • meatuzr.top
  • melicov.top
  • mensfjb.qpon
  • mflqsm.xyz
  • mincpiu.xyz
  • mindlevqtg.xyz
  • miyelv.xyz
  • mocadia.com
  • monbd.xyz
  • monteyh.xyz
  • monxxb.xyz
  • myxokgc.xyz
  • nafuq.xyz
  • naturuk.xyz
  • negotm.xyz
  • negqjcj.xyz
  • neighll.click
  • nepjz.xyz
  • nonsazv.qpon
  • norcgdu.xyz
  • nowqx.xyz
  • oblieg.xyz
  • occyxmwe.asia
  • olqrw.shop
  • olzoxo.xyz
  • omertaza.beer
  • opalxrr.xyz
  • opcez.xyz
  • orderfg.top
  • ordinarniyvrach.ru
  • orienderi.com
  • paleatgh.xin
  • parlqo.top
  • pattemqr.qpon
  • peouuhv.click
  • pftbbz.shop
  • physicianusepeptides.com
  • pictuqyr.qpon
  • piejfw.top
  • plataukz.xin
  • pluepf.xyz
  • portldu.xyz
  • precisionbiomeds.com
  • prezud.top
  • privypbomg.top
  • problgmx.beer
  • procuvt.top
  • prolare.lol
  • proqei.xyz
  • provssk.top
  • prowl.arktk.xyz
  • proxgn.xyz
  • psalgd.xyz
  • pursyme.xin
  • pyrolqi.xyz
  • pzbx.xyz
  • qbit.arktk.xyz
  • quagkmz.top
  • quailnf.xyz
  • rabqjz.xyz
  • radarr.arktk.xyz
  • rapidht.xyz
  • ravisrq.xyz
  • rebout.top
  • recipnh.xyz
  • refrico.lat
  • regkjw.xyz
  • renoex.top
  • renohhde.xin
  • rentaxrl.xin
  • resdcv.xyz
  • resolvhwou.top
  • restcr.xyz
  • retijaz.beer
  • ribbomv.xyz
  • ripenue.xyz
  • roaein.xyz
  • roriwfq.xyz
  • sabz.arktk.xyz
  • sbexv.xyz
  • schiad.top
  • schrvk.xyz
  • scihvh.xyz
  • serexvo.beer
  • shaqgn.xyz
  • shawq.xyz
  • shaypy.xyz
  • shfsz.xyz
  • shutvg.xyz
  • singucj.forum
  • siplv.xyz
  • sirwimdw.xin
  • skunku.top
  • sldnys.xyz
  • sourjpa.beer
  • splizl.xyz
  • squafu.xyz
  • stacdqi.xyz
  • stamrbyb.xin
  • steljg.shop
  • stisfmye.xyz
  • stolewnica.ru
  • stomrnd.xyz
  • stranlk.xyz
  • strinth.xyz
  • strkap.xyz
  • sulvtmap.xyz
  • sunssek.xyz
  • suomuj.top
  • supihk.shop
  • swamia.click
  • swejog.xyz
  • swydug.xyz
  • synrxvtd.forum
  • syntrva.forum
  • tamnmx.xyz
  • tastqpk.xyz
  • theuid.top
  • thicew.xyz
  • thigk.xyz
  • thumse.xyz
  • thuyrxi.xyz
  • tilmx.xyz
  • titco.xyz
  • tong-zhuang.com
  • topofnm.lat
  • tortodyq.xin
  • totalqt.xyz
  • totplh.xyz
  • transzw.xyz
  • tretpn.top
  • triobm.xyz
  • tticopn.my
  • tuead.xyz
  • tui11.com
  • twinco.top
  • twiory.xyz
  • unavngu.asia
  • uncombsguq.xyz
  • unctyou.shop
  • unemtyq.xyz
  • unlfee.xyz
  • unshyqov.xin
  • unsuxvxb.qpon
  • unvkoj.xyz
  • upmosn.lol
  • upwanpdx.qpon
  • utvp1.net
  • vaganetka.ru
  • valaniyw.forum
  • vergimh.forum
  • victirtz.asia
  • vinsodg.top
  • viorwvkz.asia
  • vishneviyjazz.ru
  • visokiywkaf.ru
  • vjpnwk.shop
  • voluntv.xyz
  • vtfrxa.shop
  • wargijuh.asia
  • watch.arktk.xyz
  • wdlmjh.shop
  • wellrmy.xyz
  • wiggmyq.xyz
  • wilddbgh.qpon
  • wilvrdu.top
  • wojbi.xyz
  • woodvuqb.qpon
  • wrenthu.xyz
  • www.ifimthere.com
  • www.tong-zhuang.com
  • www.tui11.com
  • www.yzwkdl.com
  • www.zjxh120.net
  • xurekodip.com
  • yamakrug.ru
  • yikpspbi.my
  • youngnu.xyz
  • yrokistorii.ru
  • yufxt.top
  • yunniuwr.beer
  • yzwkdl.com
  • zjxh120.net
  • zwiirl.xyz
Комментарии: 0
Похожие записи
0
26.07.2024
Индикаторы компрометации

LummaC2 Stealer IOCs - Part 3

Stealer
LummaC2 - это Infostealer, который активно распространяется, маскируясь под нелегальные программы (например, крэки, кейгены и программы для взлома игр), доступные на сайтах-распространителях, YouTube и