Широкий размах вредоносной инфраструктуры Lumma: новые данные о сетевых угрозах
Недавнее исследование семейства вредоносных программ Lumma обнаружило масштабную инфраструктуру, тесно связанную с деятельностью многочисленных хакеров. Lumma продолжает оставаться одним из пяти крупнейших семейств вредоносного ПО, что значительно упрощает идентификацию активных хостов и инфраструктуры управления (C2), используемой злоумышленниками.
Основные находки исследования
Анализ последних образцов Lumma выявил следующие ключевые данные:
- Связь с 292 различными IP-адресами, многие из которых скрыты за сетями доставки контента (CDN) — Cloudflare и Akamai.
- Фильтрация скрытых доменов позволила выделить важный IP-адрес 141.98.6.34, относящийся к автономной системе (ASN) 213702, управляемой компанией QWINS LTD — недорогим хостинг-провайдером с услугами, предоставляемыми через Telegram.
- На указанном IP-адресе размещаются вредоносные программы, преимущественно предназначенные для кражи информации и троянские типы файлов.
Данные позволяют предположить, что несколько участников используют общую инфраструктуру либо один злоумышленник осуществляет множественные атаки, поскольку вокруг ASN 213702 сгруппированы различные виды угроз.
Связанные вредоносные программы и IP-адреса
В рамках расследования были обнаружены также три дополнительных IP-адреса с самозаверяющими сертификатами, ассоциируемые с вредоносными программами, в том числе:
- Makoob
- Guloader
- AgentTesla
Эти находки свидетельствуют о тесном сотрудничестве в рамках общей хостинговой сети и усилении совместной вредоносной деятельности.
Расширение масштабов вредоносных операций
Другой ключевой объект — IP-адрес 141.98.6.81 — связан с ботнетами Mirai, Quackbot и Qbot. Это свидетельствует о разнообразии и масштабах угроз, действующих в относительно небольшой сети ASN с примерно 3 000 IP-адресов.
Анализ индикаторов компрометации (IOCs) за последние 30 дней дал следующие результаты:
- Обнаружен широкий спектр вредоносных программ, преимущественно дропперы.
- Выявлены связанные с ними ботнеты, RAT (трояны удаленного доступа), криптомайнеры
- Целевые архитектуры включают как Windows, так и Linux
Ключевые статистические данные и тенденции
- Выявлено 39 вредоносных IP-адресов, задействованных в более чем 120 полезных нагрузках.
- Эти нагрузки связаны с ботнетами, DDoS-инфраструктурой и коммуникациями C2, преимущественно на порту 666.
- Проанализировано более 45 уникальных образцов, среди которых доминируют инфокрады Amadey, Lumma и Vidar.
Данные образцы, вероятно, играют ключевую роль в управлении цепочкой заражения и распространении вредоносных payload.
Заключение
Поток обнаруженных вредоносных файлов предоставил ценные сведения о процессах утечки данных и централизованных обменах информацией через C2-сети на различных этапах внедрения вредоносного ПО. Эти результаты подчеркивают важность постоянного мониторинга подобной инфраструктуры и необходимости принятия эффективных мер противодействия угрозам в киберпространстве.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Расследование инфраструктуры Lumma: выявление скрытых угроз и ботнетов".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.