Lumma Stealerインフォスティーラーの活動は、5人の主要メンバーとされる人物の身元が暴露された後、過去数か月で減少しています。
少なくとも2022年8月からマルウェア・アズ・ア・サービス(MaaS)としてアンダーグラウンドフォーラムで提供されているLumma Stealer(LummaC2 StealerまたはLummaC2とも呼ばれる)は、今年最も著名な情報窃取型マルウェアの一つとなっています。
このマルウェアは今年5月に法執行機関の作戦の標的となりましたが、2か月後に再構築されたインフラで活動を再開しました。
6月から9月にかけて、Lumma Stealerの背後にいる脅威アクターは非常に活発でしたが、先月、Trend MicroがMaaSに関連するコマンド&コントロール(C&C)インフラの活動が急激に減少したことを確認し、状況が変化しました。
サイバーセキュリティ企業によると、この減少はLumma Stealerグループ(Water KuritaおよびStorm-2477としても追跡されている)を標的としたアンダーグラウンドでのドクシングキャンペーンと一致しています。
「競合他社によって主導されたとされるこのキャンペーンは、複数の主要メンバーとされる人物の個人情報や運用情報を明らかにし、Lummastealerのインフラやコミュニケーションに大きな変化をもたらしました」とTrend Microは述べています。
広告。スクロールして読み続けてください。
ドクシングキャンペーンの一環として、疑われるグループメンバーの個人情報、SNSプロフィール、金融情報、パスワードが「Lumma Rats」というウェブサイトで公開されました。
5人のうち2人はマルウェアの管理者および開発者と思われ、残りの3人は運用における役割が明らかにされていません。
「公開された情報には、パスポート番号、銀行口座情報、メールアドレス、各種オンラインプロフィールへのリンクなど、非常に機密性の高い詳細が含まれていました」とTrend Microは述べています。
サイバーセキュリティ企業によると、運用に関する内部知識を持つ人物、または侵害されたアカウントやデータベースへのアクセス権を持つ人物がドクシングキャンペーンの背後にいると考えられます。
情報公開後、グループのTelegramアカウントが侵害されたと報告されており、脅威アクターが顧客と連絡を取れなくなり、インフォスティーラーの活動が急激に減少した原因となりました。
「公開された情報の正確性や、名指しされた人物の実際の関与については独立した検証が行われていません。このキャンペーンは個人的または競争上の恨みによるものの可能性もあり、帰属には注意が必要です」とTrend Microは述べています。
しかし、Lumma Stealerの急激な減少により、サイバー犯罪者は代替ソリューションを探すようになり、VidarやStealCといった情報窃取型マルウェアが主要な代替オプションとして浮上しました。この移行は、Lumma Stealerの配布に使われていたペイ・パー・インストール(PPI)サービス「Amadey」にも影響を与えました。
この変化は他のMaaS運営者にもサービスの積極的なマーケティングを促し、「新たな、よりステルス性の高いインフォスティーラーのバリアントが市場に登場する可能性がある」とTrend Microは警告しています。
翻訳元: https://www.securityweek.com/lumma-stealer-activity-drops-after-doxxing/
