Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Анализ угрозы LummaC2: технологии, атаки и устранение вредоносного ПО

13
3 мин
LummaC2 — разновидность вредоносного ПО, впервые выявленная в 2022 году, получила широкое распространение в киберпреступном мире благодаря своей сложной архитектуре и эффективным методам распространения. В апреле—мае 2025 года была предпринята масштабная международная операция, нацеленная на разрушение инфраструктуры этого зловреда и нейтрализацию угрозы. Основным каналом проникновения LummaC2 служат фишинговые электронные письма, вредоносные ссылки и нелегальные загрузки программного обеспечения. Для запуска используется ряд обманных техник, включая поддельные проверки CAPTCHA, которые вводят пользователя в заблуждение и способствуют активации вредоносной нагрузки. После запуска вредоносное ПО разворачивает полезную нагрузку на основе PowerShell, функционирующую исключительно в памяти. Это позволяет LummaC2 обходить традиционные средства защиты конечных точек, оставаясь незамеченным для большинства антивирусных решений. LummaC2 создан российским киберпреступником, известным под псевдо
Оглавление

LummaC2 — разновидность вредоносного ПО, впервые выявленная в 2022 году, получила широкое распространение в киберпреступном мире благодаря своей сложной архитектуре и эффективным методам распространения. В апреле—мае 2025 года была предпринята масштабная международная операция, нацеленная на разрушение инфраструктуры этого зловреда и нейтрализацию угрозы.

Методы распространения и особенности эксплуатации LummaC2

Основным каналом проникновения LummaC2 служат фишинговые электронные письма, вредоносные ссылки и нелегальные загрузки программного обеспечения. Для запуска используется ряд обманных техник, включая поддельные проверки CAPTCHA, которые вводят пользователя в заблуждение и способствуют активации вредоносной нагрузки.

После запуска вредоносное ПО разворачивает полезную нагрузку на основе PowerShell, функционирующую исключительно в памяти. Это позволяет LummaC2 обходить традиционные средства защиты конечных точек, оставаясь незамеченным для большинства антивирусных решений.

Ключевые возможности LummaC2 включают:

  • кражу данных браузера;
  • сбор учетных данных;
  • эксфильтрацию информации о крипто-кошельках;
  • перехват токенов многофакторной аутентификации (MFA).

Создатель и бизнес-модель вредоносного ПО

LummaC2 создан российским киберпреступником, известным под псевдонимом «Шамель». Вредоносное ПО распространялось как услуга (MaaS) с ежемесячной абонентской платой, предоставляя покупателям не только сам злонамеренный код, но и подробную документацию, что облегчало использование даже менее опытными злоумышленниками.

Такая модель способствовала быстрому распространению LummaC2, особенно в рамках массовых киберпреступных кампаний. Один из ярких примеров — инцидент в марте 2025 года, когда злоумышленники имитировали Booking.com для обмана пользователей.

Активность киберпреступных групп и цели атак

Группа Octo Tempest — одна из тех, кто широко использовал LummaC2 — применяла вредоносное ПО для сбора учетных данных перед запуском программ-вымогателей. Основными целями таких атак стали уязвимые отрасли, среди которых:

  • финансовый сектор;
  • здравоохранение;
  • критически важная инфраструктура.

Международная операция и масштабный удар по инфраструктуре LummaC2

13 мая 2025 года подразделение Microsoft по борьбе с цифровыми преступлениями совместно с международными правоохранительными органами провело решающую операцию по ликвидации инфраструктуры LummaC2. В результате:

  • были захвачены более 2300 вредоносных доменов, поддерживающих сеть управления вредоносным ПО;
  • ФБР и CISA опубликовали совместное сообщение о продолжающейся активности LummaC2 и угрозах, которые он представляет для критически важной инфраструктуры США;
  • ФБР взяло под контроль Telegram-каналы Lumma в качестве символического жеста победы.

Технические особенности LummaC2 и методы обхода защиты

LummaC2 применяет сложные техники, сопоставимые с методами в платформе MITRE ATT&CK, включая:

  • запутывание (obfuscation) и маскировку своих операций;
  • модульную структуру команд, позволяющую проводить целенаправленный сбор данных;
  • использование множества API для идентификации браузеров и особенностей системы перед началом атак;
  • обфускацию строк с помощью XOR, сглаживание потока управления;
  • механизмы защиты от изолированной среды (sandbox), запуск вредоносного кода только при взаимодействии с человеком.

Кроме того, инфраструктура управления реализована по принципу высокой устойчивости: жестко запрограммированные встроенные домены, резервные каналы с использованием запутанных URL, а также поддержка связи через Telegram.

Выводы и перспективы

Демонтаж LummaC2 стал примером успешного международного сотрудничества в сфере кибербезопасности. Успех операции свидетельствует о необходимости скоординированных действий для нейтрализации современных сложных угроз. Однако, несмотря на приостановку активности LummaC2, используемые в нём методы и бизнес-модель остаются потенциальной опасностью.

«Постоянная потребность в бдительности и адаптивных стратегиях защиты остаётся ключевой для противостояния растущей киберпреступности», — заключают эксперты.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Анализ угрозы LummaC2: технологии, атаки и устранение вредоносного ПО".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.