#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Программа-вымогатель LockBit использует дополнительную загрузку и маскировку библиотек DLL, чтобы избежать обнаружения. Используя легальные приложения, злоумышленники загружают вредоносные библиотеки DLL, замаскированные под надежные файлы, запуская процессы шифрования. Они получают доступ с помощью инструментов удаленного рабочего стола, запускают полезные приложения и выполняют команды с высокими привилегиями, демонстрируя адаптивность методов атаки.
-----

Злоумышленники, использующие программу-вымогатель LockBit, значительно адаптировали свои методы, в частности, с помощью дополнительной загрузки библиотек DLL и маскировки, которые направлены на то, чтобы избежать обнаружения при максимальном воздействии. Дополнительная загрузка библиотеки DLL заключается в том, чтобы заставить законное приложение загрузить вредоносную библиотеку динамических ссылок (DLL) вместо ее подлинного аналога. LockBit достигает этого, объединяя вредоносную библиотеку DLL с законным приложением с цифровой подписью. Злоумышленники размещают вредоносную библиотеку DLL в каталоге, который легальное приложение ищет первым, часто под видом файла с идентичным именем. При запуске легального программного обеспечения оно непреднамеренно выполняет вредоносный код, позволяя LockBit инициировать шифрование, оставаясь при этом надежным.

Маскировка дополняет этот подход, при котором злоумышленники маскируют вредоносные файлы под законные системные файлы или приложения. Методы, используемые LockBit, включают переименование исполняемых файлов-вымогателей в обычные системные имена процессов (например, svchost.exe) и подделку имен процессов, чтобы они выглядели как безопасные сервисы. Этому также способствует использование подлинных значков и размещение вредоносного контента в каталогах, обычно предназначенных для законных файлов. Недавний анализ показал, что злоумышленники использовали дополнительную загрузку DLL с помощью законных файлов, таких как Jarsigner.exe и MpCmdRun.exe, внедряя вредоносные библиотеки DLL, которые автоматически загружаются при запуске, тем самым инициируя процессы вымогательства.

В наблюдаемых инцидентах с использованием LockBit злоумышленники обычно получают доступ с помощью широко известных инструментов удаленного рабочего стола, таких как TeamViewer и MeshAgent. После проникновения в систему они загружают и выполняют файлы непосредственно на взломанных компьютерах. Такие инструменты, как NSSM, использовались для работы с троянами удаленного доступа (RATs) в качестве служб Windows, в то время как PsExec выполнял команды с правами системного пользователя. Злоумышленники также использовали групповую политику для развертывания полезной нагрузки, применяя запутанные сценарии PowerShell для дальнейшего шифрования файлов, что демонстрирует универсальность их стратегий.

LockBit идентифицирован как программа-вымогатель как услуга (RaaS), используемая киберпреступной группой Syrphid, которая, как сообщается, вымогала около 500 миллионов долларов с момента своего создания в 2019 году. Однако после действий правоохранительных органов в 2024 году, включая предъявление обвинения лидеру Syrphid, произошла утечка конструктора программы-вымогателя, что позволило более широкому кругу хакеров внедрить ее без надзора первоначальных разработчиков. Оповещения, запускаемые Carbon Black EDR, указывают на различные действия программ-вымогателей, подчеркивая распространенность активности PSEXEC и обнаружения известных вредоносных файлов в уязвимых системах, что еще раз подчеркивает необходимость проявлять бдительность в отношении этих новых тактик при развертывании программ-вымогателей.

#ParsedReport #CompletenessMedium
31-07-2025

Silver Fox Intelligence Sharing Issue 2 \| Silver Fox Arsenal Update: RootKit Added for Multiple Stealth

https://mp.weixin.qq.com/s/w3Q5MwiP_6kk_9eOG474Gw

Report completeness: Medium

Actors/Campaigns:
Silver_fox (motivation: information_theft)
Earth_kurma
Fancy_bear

Threats:
Byovd_technique
Lojax
Watering_hole_technique
Procmon_tool

Victims:
Governments, Telecommunications sectors, Individual users, Enterprise personnel, Users searching for software downloads

Industry:
Financial, Government, Telco

Geo:
Asian

TTPs:
Tactics: 6
Technics: 19

IOCs:
File: 15
Path: 3
Registry: 1
Hash: 4
IP: 4

Soft:
WeChat

Algorithms:
md5

Functions:
GetWindowTextGetWindowTextLength, GetWindowTextAPI

Win API:
ZwTerminateProcessRookitPatchGuard

#ParsedReport #ExtractedSchema

Classified images:
schema: 2, windows: 18, dump: 8, code: 13, chats: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Silver Fox group усиливает свои фишинговые атаки с помощью передовых методов скрытности, включая внедрение Baijiahei и руткит-технологии для обхода на уровне ядра. Их вредоносное ПО использует легальные драйверы для обхода обнаружения и использует SEO-манипуляции, чтобы обманом заставить пользователей загружать вредоносное программное обеспечение, поддерживая низкий уровень обнаружения из-за запутывания и сложных процессов.
-----

Группа компаний Silver Fox продолжает совершенствовать свои фишинговые атаки, в частности, используя передовые тактические приемы для повышения скрытности и уклонения от атак. Ключевым достижением в работе Silver Fox является интеграция многоуровневых возможностей скрытности, которые значительно улучшают поведение вредоносных программ. Это включает в себя использование Baijiahei injection для сокрытия вредоносного кода и применение технологии руткитов для обеспечения секретности на уровне ядра. Такой уровень доступа затрудняет эффективное обнаружение и устранение этих угроз стандартным программным обеспечением безопасности.

Вредоносная программа Silver Fox использует различные методы для обхода обнаружения, такие как использование уязвимых драйверов из легального программного обеспечения (BYOVD). Как только троянец подключается к серверу управления (C2), он может инициировать ряд вредоносных действий, включая удаленное управление устройствами и кражу данных, создавая непрерывную цепочку угроз на целевых предприятиях. Фундаментальная способность руткитов заключается в их способности скрывать свое присутствие наряду с другими вредоносными программными компонентами, манипулируя базовой системой на уровне ядра или драйвера, тем самым получая постоянство и системные привилегии.

Примечательной особенностью вредоносного ПО Silver Fox является его использование для обфускации и уклонения от использования передовых методов, таких как поисковая оптимизация (SEO) для перехвата ключевых слов, когда поддельные страницы продвигаются, чтобы обманом заставить пользователей загружать вредоносное ПО. Злоумышленники используют поисковые запросы пользователей, чтобы на видном месте отображать вредоносные ссылки, замаскированные под загрузку подлинного программного обеспечения. Установочные файлы вредоносного ПО намеренно перегружены избыточным кодом, что затрудняет обнаружение, о чем свидетельствует низкий уровень обнаружения на основных платформах безопасности.

Вредоносная программа также использует руткит-драйвер с функцией ProcessObjectCallback для перехвата критически важных функций управления процессами, что еще больше усложняет попытки удаления, блокируя завершение вредоносных процессов внешними программами. Несмотря на продолжающееся распространение, показатели обнаружения этого сложного вредоносного ПО остаются тревожно низкими.

В ответ на растущую угрозу, исходящую от Silver Fox, в продуктах Tencent для обеспечения безопасности терминалов было разработано решение для обнаружения и удаления руткитов, предназначенное для эффективного взаимодействия с руткитами. Этот подход отличается своей совместимостью и сниженным риском сбоев в работе системы, поскольку он направлен на создание надежных процессов идентификации и очистки без непосредственного воздействия на защиту на уровне ядра.

#ParsedReport #CompletenessHigh
31-07-2025

Frozen in transit: Secret Blizzards AiTM campaign against diplomats

https://www.microsoft.com/en-us/security/blog/2025/07/31/frozen-in-transit-secret-blizzards-aitm-campaign-against-diplomats/

Report completeness: High

Actors/Campaigns:
Turla (motivation: cyber_espionage)
Emissary_panda
Apt31

Threats:
Aitm_technique
Apolloshadow
Uac_bypass_technique

Victims:
Foreign embassies, Diplomatic entities, Foreign ministries, Sensitive organizations, Entities within russia

Industry:
Aerospace, Telco

Geo:
Russian, Russia, Chinese, Moscow

CVEs:
CVE-2025-31199 [Vulners]
CVSS V3.1: 5.5,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- apple ipados (<18.4)
- apple iphone_os (<18.4)
- apple macos (<15.4)
- apple visionos (<2.4)


TTPs:
Tactics: 2
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1036.003, T1036.005, T1041, T1112, T1134.001, T1136.001, T1140, T1204.002, T1547.001, T1553.002, have more...

IOCs:
Url: 1
File: 5
Path: 2
Domain: 1
IP: 1
Hash: 1

Soft:
Microsoft Defender, Microsoft Defender for Endpoint, Component Object Model, Firefox, Chromium, Twitter, macOS

Algorithms:
xor, sha256, base64

Functions:
GetTokenInformationType, Windows

Win API:
GetIpAddrTable, CreateProcessW, ShellExecuteA, NetUserAdd

Languages:
python

Platforms:
apple

#ParsedReport #ExtractedSchema

Classified images:
windows: 2, schema: 1, code: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Кампания по кибершпионажу, проводимая российской компанией Secret Blizzard, нацелена на иностранные посольства в Москве с использованием технологии "противник посередине" и специального вредоносного ПО ApolloShadow. Это вредоносное ПО обеспечивает сохранность, перехватывает конфиденциальный трафик и манипулирует сетевыми настройками для перемещения по сети и шпионажа. Организациям следует внедрять шифрование и расширять возможности обнаружения для снижения рисков.
-----

Microsoft Threat Intelligence выявила кампанию кибершпионажа, связанную с российской государственной структурой, известной как Secret Blizzard, которая активно атакует иностранные посольства в Москве. В рамках этой кампании используется технология "противник посередине" (AiTM), использующая свои позиции среди местных интернет-провайдеров (ISP) для развертывания специального вредоносного ПО, известного как ApolloShadow. Вредоносное ПО предназначено для обеспечения устойчивости зараженных устройств и облегчения сбора разведданных от дипломатического персонала.

Атака начинается с перенаправления жертв на контролируемый веб-портал, выдаваемый за легальную страницу доступа к сети. Как только пользователи пытаются подключиться к Интернету, их заставляют загружать и запускать ApolloShadow под предлогом установки антивирусного программного обеспечения Касперского. Функциональность вредоносного ПО включает в себя установку поддельного корневого сертификата, позволяющего ему выполнять удаление TLS /SSL, что позволяет злоумышленнику перехватывать конфиденциальный трафик, такой как токены и учетные данные, в виде открытого текста.

Секретная методология Blizzard также демонстрирует сложную возможность манипулирования ответами DNS, позволяющую перенаправлять сообщения, предназначенные для законных доменов, в инфраструктуру, контролируемую участниками. Эта манипуляция имеет решающее значение для эксфильтрации, поскольку информация о хосте собирается и отправляется обратно на серверы управления (C2). Кроме того, ApolloShadow использует стратегию двухпутевого выполнения, изменяя свое поведение в зависимости от уровня привилегий пользовательской среды. При обнаружении недостаточных привилегий он использует путь с более низкими привилегиями, но пытается расширить доступ, отправляя пользователю запрос на управление учетными записями пользователей (UAC).

После успешного выполнения ApolloShadow изменяет сетевые настройки, чтобы классифицировать все подключения как частные, что позволяет обнаруживать файлы и упрощает потенциальное перемещение по сети. Методология, лежащая в основе этих настроек, основана на манипулировании реестром Windows и изменении правил брандмауэра с помощью взаимодействия с компонентной объектной моделью (COM). Специальные закодированные строки используются для того, чтобы скрыть важные инструкции, которые расшифровываются только во время выполнения.

Кроме того, ApolloShadow изменяет настройки браузера Firefox, чтобы он доверял устанавливаемым вредоносным сертификатам, обеспечивая постоянство в разных браузерах и расширяя свой контроль над системой. С помощью этих изощренных средств Secret Blizzard укрепляет свои позиции в целевых средах, преследуя конечную цель ведения долгосрочного шпионажа.

Организациям рекомендуется снизить риски, связанные с этой угрозой, путем обеспечения шифрованных туннелей для всего сетевого трафика, использования альтернативных провайдеров без влияния на инфраструктуру на местном уровне и применения передовых методов управления уязвимостями. Возможности обнаружения, подобные тем, которые предлагает Microsoft Defender XDR, имеют решающее значение для выявления подозрительных действий, связанных с этим хакером, позволяя организациям усилить свою защиту от аналогичных атак AiTM.

#ParsedReport #CompletenessLow
23-07-2025

The Dark Side of Romance: SarangTrap Extortion Campaign

https://zimperium.com/blog/the-dark-side-of-romance-sarangtrap-extortion-campaign

Report completeness: Low

Threats:
Sarangtrap

Victims:
Mobile users, Dating app users, Cloud file service seekers, Car service platform users

Geo:
Korean, Korea

TTPs:
Tactics: 6
Technics: 9

Soft:
Android

Platforms:
apple, cross-platform

Links:
https://github.com/Curzibn/Luban
https://github.com/Zimperium/IOC/tree/master/2025-07-SarangTrap

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносная кампания SarangTrap нацелена на пользователей Android и iOS с помощью более чем 250 вредоносных приложений и фишинговых доменов, имитирующих платформы знакомств. Вредоносная программа извлекает конфиденциальные данные, используя тактику задержки запросов на разрешение для обхода мер безопасности, особенно за счет отсутствия разрешений на отправку SMS в последней версии. Кампания использует эмоциональные манипуляции, создавая значительные риски для ничего не подозревающих пользователей.
-----

Недавний анализ, проведенный zLabs, выявил масштабную скоординированную кампанию вредоносного ПО, известную как SarangTrap, нацеленную на мобильных пользователей как на устройствах Android, так и на iOS. Операция включает в себя поразительно масштабное развертывание более 250 вредоносных приложений для Android и более 80 скомпрометированных доменов, маскирующихся под законные платформы знакомств и социальных сетей. Злоумышленники используют методы фишинга, чтобы обманом заставить пользователей загружать эти вредоносные приложения, которые предназначены для утечки конфиденциальной личной информации, такой как списки контактов и личные изображения.

При распространении вредоносного ПО используются тщательно разработанные фишинговые домены, которые напоминают известные бренды и магазины приложений. После установки пользователям предлагается ввести действительный код приглашения, который отправляется на сервер управления (C2) злоумышленника для проверки. Этот процесс является частью сложной стратегии, которая задерживает запросы на получение разрешений для конфиденциальных данных, включая доступ к SMS и контактам, до тех пор, пока пользователь не подключится, что помогает избежать обнаружения с помощью системы безопасности, которые обычно связаны с первоначальным поведением приложения.

Помимо устройств на базе Android, пользователи iOS также подвергаются риску. Злоумышленники используют мошеннический профиль конфигурации мобильных устройств, который после установки предоставляет им возможность доступа к конфиденциальным пользовательским данным, включая контакты и фотографии. Такой кроссплатформенный подход расширяет охват вредоносного ПО и его потенциальное воздействие.

Примечательно, что последние образцы SarangTrap отражают изменение тактики, поскольку вредоносная программа больше не объявляет разрешения, связанные с SMS, в своем файле манифеста, несмотря на то, что в ее коде сохранена возможность фильтрации SMS. Текущая версия запрашивает только несколько специальных разрешений — доступ к контактам, внешнему хранилищу и общей информации об устройстве — и полностью исключает SMS-разрешения. Это изменение указывает на продолжающуюся разработку хакерами, которые совершенствуют свою стратегию обхода мер безопасности, сохраняя при этом основные функциональные возможности, связанные со шпионскими программами.

Широкомасштабный и изощренный характер этой кампании подчеркивается выявлением 88 уникальных доменов, распространяющих вредоносное ПО, из которых более 70 активно функционируют как фишинговые сайты. Кампания получила широкую известность, поскольку многие из этих доменов эффективно ранжировались в результатах поиска Google по наиболее распространенным запросам, связанным со знакомствами, что побуждало ничего не подозревающих пользователей загружать вредоносные приложения под видом законных сервисов. Жертвы часто оказываются втянутыми в установку вредоносного ПО только для того, чтобы стать объектами эмоционального вымогательства и манипуляций.

Меняющаяся тактика злоумышленников в сочетании с применяемыми психологическими манипуляциями делает эту операцию особенно опасной. Стратегия эффективно использует доверие и эмоциональную уязвимость, что еще больше усложняет усилия по защите пользователей от подобных угроз. Поскольку кампания продолжает адаптироваться, постоянная бдительность и надежные защитные меры имеют решающее значение для снижения рисков, связанных с вредоносным ПО SarangTrap.

#ParsedReport #CompletenessLow
31-07-2025

Microsoft OAuth App Impersonation Campaign Leads to MFA Phishing

https://www.proofpoint.com/us/blog/threat-insight/microsoft-oauth-app-impersonation-campaign-leads-mfa-phishing

Report completeness: Low

Actors/Campaigns:
Saad_tycoon

Threats:
Aitm_technique
Tycoon_framework
Clickfix_technique
Antibot

Victims:
Ringcentral, Sharepoint, Adobe, Docusign, Ilsmart, Aviation firm, Aerospace and defense companies, Microsoft 365 users, Enterprise accounts

Industry:
Aerospace

Geo:
Russia

TTPs:
Tactics: 1
Technics: 0

ChatGPT TTPs:
do not use without manual check
T1078, T1114.002, T1136.003, T1204.002, T1556.003, T1557.002, T1566.002

IOCs:
Domain: 4
Url: 7

Soft:
SendGrid

#ParsedReport #ExtractedSchema

Classified images:
windows: 3, schema: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносные приложения Microsoft OAuth, появляющиеся с начала 2025 года, способствуют фишинговым атакам на учетные записи Microsoft 365 с использованием фишингового набора Tycoon. В этих кампаниях используются такие методы, как AI-in-the-Middle, для сбора учетных данных и токенов MFA с помощью поддельных приложений, выдающих себя за такие сервисы, как Adobe и RingCentral, что повышает потребность в надежных мерах безопасности против развивающихся угроз.
-----

Компания Proofpoint выявила значительную тенденцию, связанную с вредоносными приложениями Microsoft OAuth, которые способствуют фишинговым атакам с использованием учетных данных, нацеленным на учетные записи Microsoft 365. Эти кампании, начавшиеся в начале 2025 года, характеризуются созданием поддельных приложений OAuth, которые выдают себя за законные платформы, такие как RingCentral, SharePoint, Adobe и DocuSign. Основной целью этих фишинговых кампаний является получение учетных данных пользователей, особенно с помощью методов многофакторной аутентификации (MFA), в основном с использованием фишингового набора Tycoon.

Один примечательный случай произошел в марте 2025 года, когда фишинговое электронное письмо было отправлено со ссылкой на небольшую авиационную компанию, базирующуюся в США, с использованием темы запроса ценовых предложений (RFQ), имитирующей ILSMart, сервис инвентаризации для аэрокосмического и оборонного секторов. Вредоносная страница, предназначенная для перехвата учетных данных, работала с помощью механизма ретрансляции, который собирал как учетные данные пользователя, так и токены 2FA с помощью метода AiTM (attacker-in-the-middle). В июне 2025 года другая кампания выдала себя за Adobe, используя уникальный поток перенаправлений через URL-адреса SendGrid, ведущие к поддельным страницам аутентификации Microsoft, которые аналогичным образом были направлены на сбор учетных данных и токенов 2FA с помощью Tycoon.

Анализ, проведенный Proofpoint, показал, что было выявлено более двух десятков вредоносных приложений со схожими характеристиками, которые использовали безопасные области OAuth, маскируясь под законные приложения. Большинство из этих вредоносных действий состояли в том, что пользователи обманом вводили учетные данные на фишинговых страницах, которые были неотличимы от законных интерфейсов Microsoft. Приложения, как правило, имели минимальные разрешения, которые сами по себе не могут скомпрометировать учетные записи без участия пользователя, что указывает на относительно низкий уровень успеха при захвате учетных записей.

Использование фишингового набора Tycoon отражает более широкую тенденцию к компрометации корпоративных учетных записей. Tycoon работает как платформа "фишинг как услуга", которая позволяет хакерам перехватывать основные учетные данные и токены сеанса во время сбора учетных данных, эффективно обходя защиту MFA. Кроме того, изменения в операционной инфраструктуре указывают на попытку хакеров избежать обнаружения; наблюдался переход от российских прокси-сервисов к размещению в дата-центрах в США, что свидетельствует об усилении маскировки после более тщательного изучения предыдущей тактики.

Меняющийся ландшафт угроз подчеркивает необходимость принятия более эффективных мер безопасности. Proofpoint подчеркивает важность усиления защиты электронной почты для предотвращения попыток фишинга, внедрения системы облачной безопасности vigilant для обнаружения перехватов учетных записей, изоляции потенциально вредоносных веб-сессий и информирования пользователей об этих рисках. Надвигающийся рост числа случаев фишинга учетных данных AiTM в качестве распространенного метода киберпреступной деятельности указывает на то, что организации должны оставаться активными в своей защите от все более изощренных цепочек атак, нацеленных на идентификацию пользователей и доступ к ним.

#ParsedReport #CompletenessMedium
31-07-2025

Reverse engineering a Lumma infection

https://labs.withsecure.com/publications/reverse-engineering-a-lumma-infection

Report completeness: Medium

Threats:
Lumma_stealer
Amadey
Process_injection_technique
Heavens_gate_technique
Lolbin_technique
Clickfix_technique

Geo:
Japan, Russian

TTPs:

ChatGPT TTPs:
do not use without manual check
T1005, T1027, T1055.002, T1071.001, T1078, T1105, T1140, T1204.002, T1497.001, T1555, have more...

IOCs:
File: 17
Coin: 2
Domain: 2
Path: 1

Soft:
Telegram, Steam, DiscordCanary, DiscordPTB, curl

Algorithms:
sha256, chacha20, xor, base64

Functions:
Main, Finder, LookupPointer, eval, CallWindowsProcA

Win API:
VirtualProtect, CallWindowProcA, GetProcAddress, LoadLibraryA, LoadLibraryW, LoadLibrary, CreateProcessW, VirtualAlloc, GetThreadContext, ReadProcessMemory, have more...

Languages:
python, powershell, dotnet

Platforms:
x86, x64

#ParsedReport #ExtractedSchema

Classified images:
chart: 1, windows: 11, table: 2, code: 32, dump: 62, schema: 2

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Lumma - это передовая вредоносная программа-похититель информации на C++, известная своими сложными методами уклонения от обнаружения, включая сглаживание потока управления и динамическое удаленное внедрение процессов. Она нацелена на конфиденциальные пользовательские данные и использует надежную адаптивную инфраструктуру с зашифрованными коммуникациями C2. Несмотря на недавние сбои, есть опасения, что это может привести к повторному появлению аналогичных вредоносных программ.
-----

Lumma - это продвинутая вредоносная программа для кражи информации, написанная на C++, которая за последние пару лет стала все более распространенной и изощренной. История разработки Lumma, за которой команда WithSecure Detection and Response впервые наблюдала во время отбора образцов с открытым исходным кодом, началась в декабре 2022 года. Она работает на различных уровнях обслуживания и, как правило, распространяется по каналам Telegram. Вредоносная программа требует упаковки для достижения состояния полной необнаруживаемости (FUD), что указывает на то, что разработчик уделяет значительное внимание полезной нагрузке, передавая создание загрузчика на аутсорсинг.

Инфраструктура, связанная с Lumma, столкнулась с перебоями, в частности, из-за действий международных правоохранительных органов, которые захватили ее панель управления. Microsoft сообщила о значительном количестве заражений, выявив более 394 000 взломанных систем Windows по всему миру в течение определенного периода времени. Несмотря на сбои в работе инфраструктуры Lumma, аналитики ожидают, что либо вредоносное ПО всплывет вновь, либо хакеры могут применить аналогичные методы в новых версиях.

С технической точки зрения, Lumma демонстрирует множество сложных моделей поведения, характерных для современных вредоносных программ. В ней используется сглаживание потока управления для снижения функциональности, что затрудняет анализ решений по обеспечению безопасности. В своем жизненном цикле Lumma использует механизм загрузки, который выполняется с использованием прямого доступа к памяти, включая вызовы для чтения и управления памятью процессов (например, `ReadProcessMemory`, `VirtualAllocEx` и `WriteProcessMemory`). Примечательно, что вредоносная программа имеет механизм, позволяющий определить, запускается ли она в распакованном виде — выполнение, которое запускает предупреждающий запрос, — гарантируя при этом, что упакованная форма остается необнаруженной.

Возможности Lumma по краже информации распространяются на множество конфиденциальных пользовательских данных, потенциально включая учетные данные и данные браузера. Он подключается к различным областям управления (C2), которые циклически меняются в ходе его рабочего цикла, что указывает на надежную инфраструктуру, способную использовать адаптивные стратегии для обеспечения скрытности. Расшифровка доменов C2 выполняется с использованием алгоритма ChaCha20, который демонстрирует дополнительную техническую сложность.

Вредоносная программа умеет осуществлять удаленное внедрение в процесс, которое включает в себя изменение состояния выделенной области памяти в целевом процессе. Этот метод позволяет ей динамически внедрять свою полезную нагрузку — подход, обычно используемый злоумышленниками. Поток событий завершается получением ответа от сервера C2 после выполнения POST-запроса, что позволяет обновлять конфигурацию и осуществлять фильтрацию данных.

Современные рекомендации по обеспечению безопасности от таких угроз, как Lumma, основаны на обучении пользователей распознавать попытки фишинга, мониторинге информации об угрозах (TI) на предмет наличия индикаторов компрометации (IOCs) и внедрении строгих мер контроля доступа и многофакторной аутентификации (MFA). Организациям рекомендуется блокировать сетевой трафик на подозрительные доменные расширения и рассмотреть возможность использования менеджеров паролей для надежной защиты конфиденциальных учетных данных в автономном режиме до тех пор, пока это не потребуется.