Команда Managed XDR из Trend Micro провела исследование сложной киберкампании, в которой злоумышленники использовали инфраструктуру релизов GitHub для распространения вредоносного ПО, включая Lumma Stealer, SectopRAT, Vidar и Cobeacon. В рамках расследования команда выявила ключевые аспекты работы этой угрозы и предложила способы защиты для организаций.
Использование GitHub как инструмента для нападений
Злоумышленники использовали GitHub как платформу для первоначального доступа, позволяя пользователям неосознанно загружать файлы с защищенных URL-адресов. Полученные файлы служили каналом для извлечения конфиденциальных данных и подключения к внешним серверам управления, что позволяло незаметно выполнять вредоносные команды.
Сходство с активностью Stargazer Goblin
Анализ показал, что тактики, методы и процедуры, использованные в этой кампании, имеют значительное сходство с практиками группы Stargazer Goblin, известной использованием скомпрометированных веб-сайтов и репозиториев GitHub для распространения полезной нагрузки. В ходе расследования были выявлены следующие характеристики:
- Согласованные шаблоны URL-адресов.
- Использование законных веб-сайтов для перенаправления пользователей на вредоносные программы, размещенные на GitHub.
Характеристики Lumma Stealer
В процессе исследования команда Managed XDR проследила начальную точку доступа к файлам, загруженным из GitHub. Задействованные файлы, такие как Pictore.exe и App_aeIGCY3g.exe, были идентифицированы как Lumma Stealer, подписанные отозванными сертификатами ConsolHQ Ltd и Verandah Green Limited. Эти файлы предназначены для утечки конфиденциальной информации и передачи данных на внешние серверы управления.
Ключевые элементы работы Lumma Stealer включают:
- Запуск дополнительных инструментов и вариантов на зараженных компьютерах.
- Создание нескольких каталогов во временной папке перед запуском.
Рекомендации по безопасности
Для повышения защитных мер против Lumma Stealer команда Trend Micro предложила внедрение передовых методов обеспечения безопасности:
- Проверка URL-адресов и файлов перед загрузкой.
- Регулярная проверка цифровых сертификатов.
- Использование решений endpoint security.
Также важно отметить значимость Managed XDR для выявления и устранения подобных угроз. Изучая файлы, загруженные из источников, которые кажутся законными, команда может быстро реагировать и защитить клиентов от потенциального ущерба.
Использование аналитических данных для проактивной защиты
Интеграция разведывательных данных о хакерах, таких как связь с группой Stargazer Goblin, позволяет глубже понять методы злоумышленников и предсказывать будущие атаки. Клиенты Trend Vision One могут использовать аналитические отчеты и информацию об угрозах для активной защиты своей среды, что помогает в снижении рисков и эффективном реагировании на новые киберугрозы.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Распространение Lumma Stealer через GitHub: новые угрозы кибербезопасности".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.