出典: Delbert Harper via Alamy Stock Photo
LummaC2(別名Lumma Stealer)として知られる情報窃取マルウェアを取り締まった国際的な作戦にもかかわらず、このマルウェアは何らかの形で活動を続けています。しかし、新たにAcreedと呼ばれるスティーラーが、その不在の間に広く利用されています。
法執行機関の努力により、5月末にLummaのインフラが停止され、その配布サービスに使用されていたWebドメインが押収されましたが、Check Point Researchによれば、グループの指令・制御サーバーは依然として稼働しており、LummaC2作戦に起因する盗まれた情報の量は増え続けています。
「Lummaの開発者は、活動を再開し、通常の業務を行うために大きな努力をしています」とCheck Pointの研究者たちは述べています。
Lummaは2022年に初めて観測されたマルウェアのバリアントで、Scattered Spider、Angry Likho、CoralRaiderを含むさまざまなランサムウェアギャングやハッカーによって使用されました。それ以来、YouTubeチャンネルやGitHub、MediaFireなどのオープンソースプラットフォームを通じて、Webフィルターを回避しながら野生で配布されています。時には創造的な戦術も見られます。例えば昨年10月、Lummaは悪意のあるCAPTCHAページを使用して被害者を騙すキャンペーンで観測され、最終的にマルウェアのダウンロードを引き起こしました。当時の研究者たちは、マルウェア・アズ・ア・サービススティーラーを使用する攻撃者は通常、パスワードや暗号ウォレットデータなどの機密情報を盗むことを目的としていると指摘しました。しかし、このマルウェアは幅広い種類の資格情報を盗むために使用され、ランサムウェア攻撃、ビジネスメール詐欺(BEC)詐欺、サイバースパイ活動など、あらゆる種類の情報セキュリティ犯罪に使用されています。
関連記事:新たなハッカーミリオネアクラスの構築方法
5月の協調した法執行努力により、Lummaの運営者が使用していた5つのインターネットドメインが押収され、Microsoftは別途、Lummaインフラの他の部分をホストしていた2,300のドメインを削除しました。エージェンシーは、Integrated Dell Remote Access Controller(iDRAC)内の脆弱性を利用してLummaのメインサーバーに侵入し、サーバーとそのバックアップを消去することに成功しましたが、Check Pointによれば、地理的な位置のため、法執行機関はLummaのメインサーバーを押収することができませんでした。
再び活動を再開しているにもかかわらず、「Lummaインフォスティーラーには大きな評判の損害があるようで、インフォスティーラーが通常の活動を再開するための重要な要因は評判の要素(技術的なものではなく)である」と研究者たちは述べています。「一部の人々は、この作戦によってLummaサービスが終了するか、少なくとも非公開になる、つまり公開広告を終了し、口コミでマーケティングと顧客の審査を行うようになると考えています。他の人々は、取り締まり作戦が長期的な影響を与えないと考えています。」
インフォスティーラーの次の展開は?
Lummaが取り締まりの後に苦戦する中、一部の人々はまったく別のグループに注目を移しています。
ReliaQuestによれば、Acreedと呼ばれるインフォスティーラーの系統が、ダークウェブで盗まれた資格情報の売買プラットフォームであるRussian Marketの資格情報窃盗ログで首位に立っています。この地位は以前、2024年第4四半期にRussian Marketの資格情報ログアラートのほぼ92%を占めていたLummaによって保持されていました。
この新しいインフォスティーラーは、Webzの研究者によって2月10日に初めて観測され、Raccoon、RedLine、Vidar、StealCなどの他の確立されたスティーラー系統を大きく上回り、運用開始から1週間で4,000以上のログがアップロードされました。これは、他のほとんどのインフォスティーラーと一致し、「ユーザー情報、クッキー、パスワード、ウォレットなど」を抽出しようとしますが、他のスティーラーとは異なり、「各タイプから収集されたファイルの量を示すJSONファイルを提供します」とReliaQuestによれば述べています。
翻訳元: https://www.darkreading.com/remote-workforce/lummac2-fracture-acreed-infostealer-top-dog