Устойчивость LummaStealer: как вредоносные сети продолжают работу после полицейских операций

Вредоносные кампании часто используют PowerShell-скрипты, размещенные на веб-ресурсах, в качестве промежуточного звена для загрузки основных нагрузок. Например, скрипт, размещенный на домене alababababa[.]cloud, служил для получения и запуска файла build.exe, который затем подключался к командному серверу anodes[.]pro. Этот домен связан с более чем 60 вредоносными файлами за последние два месяца, включая такие семейства, как Amadey, Lumma, Luca, DeerStealer, RedLine, Rugmi, BlackBasta и DarkGate.

Анализ инфраструктуры выявил использование провайдеров, предположительно предоставляющих «пуленепробиваемый» хостинг (BPHS). Например, IP-адреса 185.156.72.96 и 185.156.72.2, принадлежащие автономной системе AS61432 (TOV VAIZ PARTNER), зафиксировали коммуникации с тысячами вредоносных файлов. Эта ASN имеет ограниченную маршрутизацию, что характерно для услуг, ориентированных на сокрытие нелегитимной активности.

Интересно, что злоумышленники также используют легитимные сервисы, такие как Amazon CloudFront, Amazon Global Accelerator и GitHub, для хранения и распространения вредоносных нагрузок. Это создает дополнительные сложности для блокировки, поскольку трафик маскируется под доверенные источники. Например, в ходе расследования были обнаружены исполняемые файлы, размещенные на GitHub под видом проектов, которые затем перенаправляли запросы на домены вроде nexuswarps[.]shop.

Семейство LummaStealer остается одним из наиболее устойчивых. Несмотря на предпринятые меры, его операторы быстро восстановили инфраструктуру и продолжили деятельность. Анализ выборки из 200 файлов, коммуницирующих с подозрительными IP-адресами, показал, что Lumma и Amadey доминируют среди обнаруженных угроз. Это указывает на то, что злоумышленники экспериментировали с альтернативами, но в итоге вернулись к проверенным инструментам.

Эксперты подчеркивают, что борьба с такими сетями требует не только технического анализа, но и сотрудничества с интернет-провайдерами и регистраторами. Обнаружение подобной активности, например, через платформы типа Shodan с запросами вроде http.html:”Invoke-WebRequest”, позволяет выявлять угрозы на ранних стадиях. Однако устойчивость инфраструктуры, основанной на BPHS и облачных сервисах, делает эту задачу особенно сложной.

В целом, ситуация демонстрирует, что даже после targeted действий со стороны правоохранителей киберпреступники адаптируются и продолжают операции, используя разнообразные методы маскировки и распределенные ресурсы. Это требует от защитных систем непрерывного мониторинга и усовершенствования методов проактивного обнаружения.

Domains

• alababababa.cloud
• anodes.pro
• avatrade-compliance.com
• avatrade-global.com
• avatrade-regulation.com
• avatrade-services.com
• avatrade-supervision.com
• battlefled.top
• betrunk.rocks
• blogcrptodevelopments.com
• cfd-regulations.com
• chainnode.shop
• citellcagt.top
• diecam.top
• ervicesmesh.pro
• escczlv.top
• financialway.pro
• hugevcdn.pro
• interconstructionsite.pro
• kinwlyo.xyz
• korxddl.top
• localixbiw.top
• londonoffvisit.com
• metaskins.gg
• multiport.shop
• narrathfpt.top
• orlideti.com
• osuszaczemlawa.pl
• peppinqikp.xyz
• registrokim.online
• ripple-legal.com
• ripple-regulation.com
• ripple-regulatory.com
• sstemxehg.shop
• stochalyqp.xyz
• zhuchengsantian.com
• zurichinsurince.com

URLs

• https://battlefled.top/gaoi
• https://citellcagt.top/gjtu
• https://diecam.top/laur/api
• https://escczlv.top/bufi
• https://korxddl.top/qidz
• https://localixbiw.top/zlpa
• https://narrathfpt.top/tekq
• https://peppinqikp.xyz/xaow
• https://sstemxehg.shop/gaks
• https://stochalyqp.xyz/alfp

SHA256

• 02c158c63d28fd5be24424e41b70a7a361c9be8897590c0453b0d30bd6e0d842
• 7ada4d7dfc00943780cb51ea182c7a221953cdabc394011204ba5cd8e4e8f0d3
• bd269a6328de0e534f4d8c3a42ea88a4343168053f63da0da95318f4ed17e705