Команда Trend Micro по работе с управляемыми XDR провела расследование кампании, распространявшей вредоносную программу Lumma Stealer через инфраструктуру релизов GitHub. Злоумышленники использовали GitHub для получения доступа и загружали файлы с защищенных URL-адресов. Эти файлы удаляли конфиденциальные данные и подключались к внешним серверам для выполнения команд и избежания обнаружения. Lumma Stealer использовал различные инструменты, включая сценарии PowerShell и команды Shell, для сохранения и утечки данных.
Lumma Stealer
Анализ показал, что тактика, методы и процедуры, использованные в этой кампании, связаны с группой Stargazer Goblin, которая также использует взломанные веб-сайты и GitHub для распространения вредоносной программы. Обнаружены совпадающие шаблоны URL-адресов и скомпрометированные легитимные веб-сайты, которые перенаправляют на вредоносные полезные нагрузки, размещенные на GitHub.
Чтобы укрепить защиту от подобных угроз, организациям рекомендуется применять проактивные меры безопасности, такие как проверка URL-адресов и файлов перед загрузкой, регулярная проверка цифровых сертификатов и использование решений для защиты конечных точек, способных обнаруживать и предотвращать вредоносные действия.
Расследование также показало, что злоумышленники использовали инфраструктуру релизов GitHub для первоначального доступа. Они загружали файлы, такие как Pictore.exe и App_aeIGCY3g.exe, которые являются вариантами вредоносной программы Lumma Stealer. Эти файлы были подписаны компаниями ConsolHQ LTD и Verandah Green Limited, но их сертификаты были отозваны, что указывает на их ненадежность и потенциальную вредоносность.
Злоумышленники использовали предварительно подписанные URL-адреса, чтобы представить файлы как часть релиза, связанного с определенным репозиторием GitHub. Это обеспечивало аутентификацию и ограничение по времени загрузки. Выполнение Lumma Stealer позволяло злоумышленникам красть конфиденциальную информацию, такую как учетные данные и криптовалютные кошельки, а также выполнять другие вредоносные действия с помощью контролируемых ими серверов.
Indicators of Compromise
IPv4 Port Combinations
- 5.75.212.196:443
- 91.202.233.18:9000
Domains
- ikores.sbs
- lumdukekiy.shop
URLs
- https://klipcatepiu0.shop/int_clp_sha.txt
SHA256
- 25cfd6e6a9544990093566d5ea9d7205a60599bfda8c0f4d59fca31e58a7640b
- 2f8275484d80fe3ce73d30116c1cc0019f473f675e9c78cc4bc3fb2193a8b14d
- 45a73c9260c41aee9122de28dea86944e1f2d447de7e66bff0d64bc895780572
- 4af3898ba3cf8b420ea1e6c5ce7cdca7775a4c9b78f67b493a9c73465432f1d3
- 51fbc196175f4fb9f38d843ee53710cde943e5caf1b0552624c7b65e6c231f7e
- 6ec86b4e200144084e07407200a5294985054bdaddb3d6c56358fc0657e48157
- 73a017fc2f9c559d333a272598fc10e1e7f25e8c6afeabbd431c2acaf8993a8e
- 843269c61515c42f248cb855e5466c82e1f72182b833b1d5438999efa2c9384d
- 938e35827cd9a8b63dcbb60a0bcab4f1f4eb84e3a8d644f061327183b871f6eb
- af66c194d30a1c7c48c3fdf9d7142951ff4e6ba26cd6321210f7c4e9350ced22
- afdc1a1e1e934f18be28465315704a12b2cd43c186fbee94f7464392849a5ad0
- c93dfe641543c3466edf56a9bed92d6ad7bb6f179c6041ed69d103b05e44828b
- dd895aa929cd14684c802adad1386add63e236eea179c75daa658c1ef10868e5
- de6fcdf58b22a51d26eacb0e2c992d9a894c1894b3c8d70f4db80044dacb7430
- e096db5bd644b5321ec5d6dba709b4d8dbc4a1c22d7d2f1261e21e17b0279202
- e8452a65a452abdb4b2e629f767a038e0792e6e2393fb91bf17b27a0ce28c936
- f02e6df17859052ff7a41ae570796c2fa85ec6ed560342f22f330087286a519f
