惡意程式
捲土重來:Lumma Stealer 帶來更強大的隱匿技巧
Lumma Stealer 帶來更強大的隱匿技巧 這一次,惡意程式背後的駭客集團似乎採取了更隱匿的技巧,並持續穩定地擴大地盤。本文說明這項威脅最新的散播方法。
重點摘要
- Lumma Stealer 在 5 月份遭到破獲之後沒過多久便再次重生,且受害帳號數量從 6 月至 7 月開始暴增。現在,惡意程式會經由更多隱匿的管道散布,並採用更隱密的躲避技巧。
- 具備資訊竊取功能的 Lumma Stealer 會搜刮登入憑證和私人檔案等各種敏感資料。此外,由於它是以惡意程式服務 (Malware as a Service,簡稱 MaaS) 的方式來銷售,因此就算是完全沒有技術背景的不肖之徒也駕馭這套惡意程式。
- 使用者有可能經由假的破解版軟體、假冒的網站,以及社群媒體貼文而被騙下載到 Lumma Stealer。對企業而言,缺乏網路資安意識的員工很容易成為這類攻擊的受害者。
- Trend Vision One™ 已經可以偵測並攔截本文討論到的入侵指標 (IoC)。此外,Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 Lumma Stealer 的豐富資訊和最新消息。
當 2025 年初的執法行動掃蕩了 Lumma Stealer 集團時,大約有 2,300 多個惡意網域遭到查緝,根據當時的初步跡象顯示,這個惡名昭彰的資訊竊取惡意程式已受到重創。
然而,我們最近對 Lumma Stealer 的監控資料卻顯示其營運已悄悄地穩定重生。
儘管其核心基礎架構和市場已被下架,但新的攻擊行動已經現身,並且使用了 GitHub 和假 CAPTCHA 網站之類的管道來散播。
值得注意的是,駭客的經營方式已遠離公共地下論壇,改用一些更隱匿的管道和精密的躲避技巧來重建營運,同時也避免成為目光焦點。
Lumma Stealer 破獲行動:重點回顧
2025 年 5 月,一項全球大型執法行動破獲了 Lumma Stealer 惡意程式這個從 2022 年底開始便相當活躍的資訊竊取惡意程式服務 (MaaS)。
這項聯合行動由多個執法機關與私人機構共同參與。該行動的主要成就包括:
- 查緝基礎架構:大約有 2,300 個構成 Lumma 幕後操縱 (CC) 基礎架構的惡意網域遭到查緝或封鎖。其中包括五個 Lumma Stealer 系統管理員和客戶登入介面所使用的網域。
- 切斷營運:Lumma Stealer 的中央指揮架構以及散播和銷售 Lumma Stealer 的市集遭到下架。惡意程式伺服器與受感染電腦之間的連線被切斷,有效阻斷了通訊及資料外傳。
駭客的回應與技術細節
5 月 24 日,就在遭到執法機關破獲之後不久,Lumma Stealer (趨勢科技內部命名為 Water Kurita) 的主要開發人員在 XSS 地下論壇上發布了一份詳細聲明。
該開發人員確認有將近 2,500 個網域遭到查緝,並提供有關其營運的技術細節。根據這名開發人員表示,雖然其基礎架構遭到破壞,但執法機關實際上並未扣押其伺服器,因為這些伺服器位於他們的司法管轄權以外地區。
執法機關據稱是利用了一個先前未知的漏洞 (疑似位於伺服器的 Integrated Dell Remote Access Controller [IDRAC] 內部) 來駭入其系統,並將其兩個不同據點的所有硬碟 (包括備份資料在內) 全部格式化。
此外,這名開發人員也指出,執法機關將原本的控制面板換成網路釣魚網站,目的是要蒐集其客戶的 IP 位址與網路攝影機存取權限。針對這點,Lumma Stealer 團隊宣稱已恢復了伺服器的存取,並停用了含有漏洞的遠端管理介面,同時也意指未來有可能會再試著重新出發。
Lumma Stealer 重生:遭到破獲之後的活動
自從 Lumma Stealer 及其相關基礎架構遭到執法機關破獲之後,我們的團隊已看到 Lumma 的營運開始重生的明確跡象。根據網路監測資料顯示,Lumma 遭到破獲的基礎架構在數週之內便開始重新崛起。這樣的復原速度,突顯出該集團在面對營運中斷時的韌性與適應力。
當我們在檢視 Lumma 惡意程式對我們客戶的攻擊行為模式時,我們發現被它攻擊的非重複帳號數量在 2025 年 5 月略有減少,此時正好是該集團遭到破獲的時間點。
然而,這樣的減少只是短暫現象。從 6 月至 7 月,被攻擊的帳號數量又逐漸恢復到平常的水準,顯示 Lumma Stealer 集團已迅速恢復營運,並繼續先前的攻擊活動。
此一趨勢突顯出 Lumma 集團強韌的生命力,以及剷除精密惡意程式集團必須面臨的持續挑戰,即使執法機關已發動一番強勢的執法行動。
Lumma Stealer 的近期攻擊行動及 TTP 分析
為了進一步了解 Lumma 對我們客戶的後續威脅,我們對 Lumma Stealer 近期的攻擊行動做了一番詳細分析。
本節摘要說明我們觀察到的駭客攻擊手法、技巧與程序 (TTP),並且點出他們在經歷之前的執法行動之後,目前的經營模式有什麼重大改變。
我們希望藉由分享這些洞見來為資安人員提供可化為行動的情報,以改善其偵測、防範及回應 Lumma 相關威脅的能力。
網路基礎架構變更
在遭到執法機關破獲之前,Lumma Stealer 集團大多利用 Cloudflare 作為基礎架構來掩護其惡意網域。
透過 Cloudflare 這個廣受信任的合法服務,他們就能掩蓋伺服器的真正來源,讓資安人員更難加以偵測及溯源。
但遭到破獲之後,他們的手法開始出現明顯的轉變。目前雖然仍有少數的 Lumma 網域仍在使用 Cloudflare,但整體來說數量已大幅減少。
這表示駭客或許刻意降低了他們對知名廠商與基礎架構的依賴,因為這些企業和基礎架構更容易受到監控。
為了對付日益嚴格的審查,Lumma 已利用各式各樣的其他服務供應商來將其基礎架構多元化。值得注意的是,我們觀察到 Lumma 的網域都有一定的模式,那就是使用位於俄羅斯境內的合法雲端基礎架構和資料中心服務 (例如 Selectel),尤其是 6 月份,也就是遭到破獲的幾天後。
這樣的策略轉變可能意味著他們想要改用一些比較不會回應執法機關要求的廠商,如此一來執法機關就更難追查和切斷其活動。
遭到破獲之後的近期攻擊行動
Lumma Stealer 能夠持續成功的關鍵要素之一就是多樣化且不斷演進的散播方式。了解 Lumma Stealer 如何散播 (不論是經由惡意廣告、已遭入侵的網站等等),對想要切斷其感染程序的資安人員來說至關重要。
本節提供 Lumma Stealer 近期攻擊行動的完整分析,尤其是它用來散播惡意程式的管道和機制。
假破解工具攻擊行動
Lumma Stealer 最常見、最有效的散播機制之一就是利用兩種類型的假工具:破解工具與金鑰產生工具 (keygen)。這些都是偽裝成合法免費版軟體以及一些熱門應用程式解鎖工具的惡意程式。
駭客集團利用使用者對於免費軟體的渴望來刊登惡意廣告並操弄搜尋引擎。當受害者在尋找某個應用程式或工具的破解版時,經常會因為惡意廣告或假的搜尋結果而被帶到提供假破解版工具的網站。
這些下載網站通常使用了 JavaScript 在受害者點選「Download」(下載) 按鈕時,將使用者帶到某個流量偵測系統 (Traffic Detection System,簡稱 TDS)。TDS 會檢查使用者的環境,如果符合條件,就會將使用者帶到另一個網站來下載受密碼保護的 Lumma 下載器。
ClickFix 攻擊行動
ClickFix 是導致 Lumma Stealer 感染案例最廣為記載的攻擊行動之一。在這類攻擊當中,駭客將惡意的 JavaScript 注入到已遭駭入的網站,讓網站顯示一個假的 CAPTCHA 真人驗證網頁。
該頁面的設計會誘騙使用者透過 Windows 的「執行」對話方塊執行惡意的 PowerShell 指令,最終讓系統感染 Lumma Stealer。
其感染過程通常會分成好幾個階段並且會執行各種腳本,最後才會植入 Lumma Stealer 惡意程式。
在這類攻擊行動當中,Clickfix 下載並執行的 PowerShell 腳本會使用 XOR 運算來將一個 .NET assembly 二進位檔案解密,接著將解密後的程式直接載入記憶體內執行。這套流程可讓 Lumma Stealer 在不將任何檔案寫入硬碟的情況下就能執行,使得傳統資安工具更難偵測或封鎖其活動。
GitHub 攻擊行動
Lumma Stealer 惡意程式另一個常見的散布方式是透過 GitHub。今年三月曾經出現一些非常類似的攻擊行動,
在這些攻擊行動中,駭客會透過自動化方式建立使用者帳號和儲存庫,而且經常使用 AI 生成的 README 檔案。這些儲存庫通常用來推銷遊戲相關的作弊與破解程式供人下載,誘騙使用者在不知情的狀況下安裝惡意程式。
Lumma Stealer 的檔案通常能以 EXE 檔案的形式直接從儲存庫下載,或以 ZIP 檔案的形式從版本發行 (Releases) 區段下載。
社群媒體攻擊行動
Lumma Stealer 也曾透過社群媒體來散布。例如在 YouTube 平台上,駭客通常會上傳一些像破解 Photoshop 軟體這類主題的影片,裡面含有一些連結來引導觀眾前往散布 Lumma 惡意程式的外部網站。
類似的情況,它在 Facebook 上會使用含有惡意網站連結的貼文或廣告,讓使用者一不小心就可能下載到 Lumma Stealer。這些手法利用了人們對社群媒體平台的信任和其觸及率來擴大惡意程式的散布範圍,並提高感染率。
結論
Lumma Stealer 的案例就是今日駭客集團強大適應力及生命力的典範。儘管經歷了重大破獲行動,該集團還是迅速重整、修改基礎架構,並持續開發出新的散播手法。
Lumma Stealer 採用了惡意程式服務 (MaaS) 的經營模式,即使是毫無技術背景的歹徒也能利用它來發動攻擊。這一點,再加上現有及新開發的攻擊行動,勢必能讓這個惡意程式盡可能擴散。越來越多的使用者很可能受騙上當,在不知情的狀況下讓駭客集團竊取其敏感資料。
Lumma Stealer 重新振作並持續創新的能力,對全球企業和個人來說都是揮之不去的風險。這突顯出執法機關與網路資安社群需要隨時保持警戒、主動蒐集威脅情報,並繼續保持合作。不這麼做,即使是規模最大的破獲行動,也可能只是暫時延緩一下持續演變的資安威脅而已。
此外,企業自己也必須無時無刻保持警戒。企業可定期為員工舉辦網路資安教育訓練,協助他們熟悉各種詐騙和惡意軟體的廣告、網站以及社群媒體貼文。此外,採用網路資安工具來建置一套主動式防禦,也能為企業提供進一步的保護。
隨著駭客集團不斷快速調整適應,資安防護也應該以搶先駭客一步為目標。
採用 Trend Vision One™ 的主動式防護
Trend Vision One™ 是唯一將資安曝險管理、資安營運以及強大的多層式防護集中在一起的 AI 驅動企業網路資安平台。這套全方位的方法能協助您預測及防範威脅,讓您在所有數位資產上加速實現主動式防護的成果。它憑著數十年的網路資安領導地位,以及業界首創的 Trend Cybertron 主動式網路資安 AI,為您帶來經得起考驗的具體成果:減少 92% 的勒索病毒風險,以及縮短 99% 的偵測時間。
趨勢科技威脅情報
為了隨時掌握不斷演變的威脅,趨勢科技客戶可透過 Trend Vision One™ Threat Insights 來取得 Trend Research 有關新興威脅及駭客集團的最新洞見。
Trend Vision One Threat Insights
- 駭客集團:Water Kurita
- 新興威脅:破獲之後:追蹤 LummaStealer 的持續威脅與重生
Trend Vision One Intelligence Reports 應用程式 (IoC 掃描)
追蹤查詢
Trend Vision One Search 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
Lummastealer 偵測
malName:*LUMMASTEALER* AND eventName:MALWARE_DETECTION AND LogType: detection AND LogType: detection
除此之外,Trend Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
入侵指標 (IoC)
如需本文提到的入侵指標完整清單,請至此處。