ESET компаниясы – ақпараттық қауіпсіздік саласындағы көшбасшы – Microsoft, BitSight, Lumen, Cloudflare, CleanDNS және GMO Registry компанияларымен бірге ақпаратты ұрлау үшін арналған зиянды бағдарламалық жасақтама Lumma Stealer-ді залалсыздандыру бойынша жаһанды операция өткізді. Операция қатердің инфрақұрылымына, сонымен қатар былтырғы жылғы ботнеттің белсенділігінің тоқтатылуына алып келген барлық танымал командалық серверлерге (C&C) бағытталған.
«ESET автоматтандырылған жүйелері Lumma Stealer-дің он мыңдаған үлгілерін командалық серверлерге және байланысты сәйкестендіргіштерге бөліп, талдады. Бұл бізге Lumma Stealer белсенділігін, нұсқалардың жаңартылуын және т.б. үздіксіз бақылауға мүмкіндік берді. Ақпаратты ұрлауға арналған осындай зиянды бағдарламалар тобы болашақтағы жойқын шабуылдардың белгісі болып табылады. Ұрланған есептік деректер – киберқылмыс әлемінде бағалы тауар болып, басқа қылмыскерлерге, соның ішінде өтемақы талап ететіндерге де сатылады. Соңғы екі жылда Lumma Stealer әлемнің әртүрлі бөлігінде таралып, ең танымал қатерлердің бірі болды», – деп айтады ESET зерттеушісі, Якуб Томанек.
Lumma Stealer киберқылмыскерлері зиянды бағдарламалық жасақтаманы белсенді түрде әзірлеп, жаңартып отырған. Алайда ESET зерттеушілері кодты жаңартуды анықтап отырған – кішігірім түзетулерден бастап, жолды шифрлауды толық алмастыру мен желілік протоколды өзгертуге дейін. Атап айтқанда, 2024 жылдың 17 маусымынан бастап 2025 жылдың 1 мамырына дейін орта есеппен 3353 бірегей C&C домен, сонымен қатар апта сайын орта есеппен 74 жаңа домен пайда болып отырған. Сондай-ақ, ботнет операторлары ортақ желілік инфрақұрылымға белсенді қолдау көрсетіп отырды. Бұл өзгертулер Lumma Stealer қауіпті-қатер екенін және оны залалсыздандыру маңыздылығына көңіл бөлу қажеттілігін көрсетеді.
Lumma Stealer зиянкестері зиянды бағдарламалық жасақтаманы басқа киберқылмыскерлерге деректерді ұрлау үшін қажет қатерлердің жаңа нұсқасы мен желілік инфрақұрылымын алу үшін ай сайынғы төлемді көздейтін қызмет ретінде көрсетеді. Жазылым моделі функцияларына байланысты айына 250-ден 1000 долларға дейінгі бағаны қамтиды. Lumma Stealer операторлары ұрланған деректерді делдасыз сату үшін арналған рейтингтік жүйесі бар Telegram-платформасын жасады. Таралған әдістердің арасында – фишинг, бұзылған бағдарламалық жасақтама және басқа жүктеушілер. Lumma Stealer анықтауды болдырмау үшін талдауды барынша қиындататын және талдаушылардың жұмысына кедергі болатын эмуляциға қарсы күресте бірнеше нәтижелі техникалар пайдаланады.
Microsoft сандық қылмыстар бөлімі АҚШ-тың Джорджия штатының округтік сот қаулысы негізінде Lumma Stealer басты инфрақұрылымын құрайтын зиянды домендерді анықтауға, тоқтатуға, алуға және бұғаттауға көмектесті. АҚШ Әділет министрлігі бір уақытта Lumma Stealer қатер маркетплейсін және зиянды бағдарламалық жасақтаманы сатып алушыларына нысанаға алып, басқару тақтасын алды. Бұл әрекеттер Европол киберқылмыспен күрес Еуропалық орталығымен, сондай-ақ Жапония киберқылмыспен күрес Орталығы үйлестіріліп, Lumma Stealer инфрақұрылымының жұмысын тоқтатуына алып келді.
«Бұл жаһандық заласыздандыру операциясы Lumma Stealer-ді ұзақ уақыт бойы бақылаудың арқасында мүмкін болды. Microsoft басқарған операциясы барлық танымал C&C домендерді алуға бағытталып, зиянды бағдарламалық жасақтама инфрақұрылымын белсенді емес етті. Алайда, ESET мамандары бұл операциядан соң Lumma Stealer белсенділілігін мұқият қадағалап, деректерді ұрлауға арналған басқа да қатерлерді бақылауды жалғастырады» - деп түйіндеді ESET зерттеушісі, Якуб Томанек.
Экожүйеге толық шолу, сондай-ақ Lumma Stealer техникалық талдауын сілтеме бойынша оқыңыз.