2025年5月25日日曜日

Lummaの撲滅をMicrosoftが画策

MicrosoftがマルウェアのLummaの撲滅作戦を実行したとブログに書かれた。あまりよいとは言えないソフトウェア(windowsとかofficeとか)を世界中の情弱に売りつけてボロ儲けしているのだから、それくらいのことはしないと無責任と言われるだろう。

Lummaというのはwindowsにしか感染しないマルウェアのプラットフォームだ。けっこう蔓延っているので、どのような技術が使われているのか調べてみた。検索AIのPerplexityに聞いたところ、ユーザーのうっかりミスを利用したしょうもない技術であることがわかった。Lummaが優れているのは、簡単に使えることと、マネタイズの筋道がしっかりしていること(作り手にも使い手にも)だ。これはこれで立派な特徴ではあるが、あまりに低レベルな話なのでこれ以上調べたくはない。

---以下はPerplexityの答---

## Lumma Stealerが悪用する脆弱性と攻撃手法

**主な攻撃手法はソーシャルエンジニアリングと正規プラットフォームの悪用が中心で、特定のソフトウェア脆弱性よりもユーザーの行動を誘導する手口が特徴的です。

---

### 1. ソーシャルエンジニアリングを活用した手口

- **偽CAPTCHAサイト**  

  ユーザーに偽の認証を要求し、成功するとマルウェアをダウンロードさせる手法が2024年10月に確認されています[3][6]。

- **フィッシングメール**  

  GitHubユーザーを狙った新手のメールで、悪意のあるスクリプトをクリップボードにコピーさせ実行を誘導します[6][7]。

---

### 2. 正規サービスの悪用

- **GitHubリリース機能**  

  攻撃者がGitHubのリリースページを改ざんし、不正ファイル(例:`Pictore.exe`)を頒布。ダウンロードURLを正規に見せかける手法が2025年2月に報告されています[2]。

- **Discord CDN**  

  Discordのコンテンツ配信ネットワークを悪用し、マルウェアを配布する事例が確認されています[9]。

---

### 3. 技術的脆弱性の悪用

- **CVE-2024-21412**  

  Fortinetが報告した脆弱性を悪用し、ファイルレス攻撃でLumma Stealerを拡散する手口が観測されています[1]。

- **Windowsツールの悪用**  

  `mshta.exe`やPowerShellなど、Windowsの正規ツールを利用して検知回避を図ります[2][5]。

---

### 4. マルチステージ攻撃

- **複数マルウェアの連携**  

  Lumma Stealer感染後、`SectopRAT`や`Vidar`などの他のマルウェアをダウンロードし、遠隔操作やデータ窃取を継続します[2][5]。

- **永続化手法**  

  レジストリキーの改変やスケジュールタスクの作成により、再起動後も持続します[2][8]。

---

**対策ポイント**  

- 偽CAPTCHAや不審なダウンロードリンクへの警戒

- GitHub/Discordの正規URL確認(例:`https://github.com/[ユーザー名]/[リポジトリ名]`)

- エンドポイント保護ソリューションの導入(例:EDRによるPowerShell監視)[2][8]


情報源

[1] CVE-2024-21412の悪用:猛威を振るうスティーラー攻撃 - Fortinet https://www.fortinet.com/jp/blog/threat-research/exploiting-cve-2024-21412-stealer-campaign-unleashed

[2] GitHubのリリース機能を悪用して情報窃取型マルウェア「Lumma ... https://www.trendmicro.com/ja_jp/research/25/b/lumma-stealers-github-based-delivery-via-mdr.html

[3] Lumma Stealer:急激に広がる情報窃取型マルウェアの脅威 | ESET https://www.eset.com/jp/blog/welivesecurity/lumma-stealer-a-fast-growing-infostealer-threat-jp/

[4] 【脅威分析レポート】影からスポットライトへ、LummaStealerの ... https://www.cybereason.co.jp/blog/threat-analysis-report/13044/

[5] 悪名高いマルウェアLumma Stealerがテイクダウンされる | Codebook https://codebook.machinarecord.com/threatreport/silobreaker-cyber-alert/38922/

[6] チェック・ポイント・リサーチ、2024年10月に最も活発だった ... https://prtimes.jp/main/html/rd/p/000000348.000021207.html

[7] マカフィーの調査チームがセキュリティツール「CAPTCHA」に紛れ ... https://prtimes.jp/main/html/rd/p/000000051.000033447.html

[8] クッキー窃取と情報窃取型マルウェアの軽減 - CyberArk Docs https://docs.cyberark.com/epm/latest/ja/content/featurespotlight/infostealer-malware.htm

[9] DiscordのCDNを介して拡散される情報窃取型マルウェア「Lumma ... https://www.trendmicro.com/ja_jp/research/23/l/beware-lumma-stealer-distributed-via-discord-cdn.html

[10] ClickFixの被害をJSOCの複数のお客様にて観測 | LAC WATCH - ラック https://www.lac.co.jp/lacwatch/alert/20250519_004380.html


投稿者 時刻:
ラベル:

0 件のコメント:

コメントを投稿

登録: コメントの投稿 (Atom)