Lumma Stealerが再び登場、これまで以上にステルス化

出典：Andriy Popov（Alamy Stock Photo経由）

Lumma Stealerが、FBIによる大規模な摘発（2024年5月）で活動停止したと思っていた人は、考えを改める必要があります。

「世界で最も人気のあるマルウェア」とも呼ばれるLumma Stealerの運営者たちは、すぐに再結集し、今回もまた多様な配布経路とより巧妙な手口を駆使して検知を回避し、再び脅威となっています。 Trend Microの研究者によると、6月から7月にかけてLumma Stealerによる標的アカウント数が再び増加し、「より目立たないチャネルとステルス性の高い回避戦術」を通じてマルウェアが配布されていることが、7月22日公開のブログ記事で明らかにされています。

5月の法執行機関による摘発中およびその直後は活動がやや減少しましたが、Trend Microのネットワークテレメトリーによると、Lummaのインフラは「摘発から数週間以内に」再び活発化し始めたと、Trend Microの脅威アナリストJunestherry Dela Cruz氏は投稿で述べています。これは「グループのレジリエンス（回復力）と適応力の高さ」を示しているとDela Cruz氏は指摘します。

6月から7月にかけて、標的となったアカウント数は通常レベルまで回復し、「Lumma Stealerの運営者が迅速に活動を再開し、従来の標的型攻撃を再開できたこと」を示唆しているとDela Cruz氏は記しています。

Trend Microはまた、Lummaの配布チャネルが依然として多様であることを示す新たなキャンペーンも観測しています。Lummaは、さまざまな認証情報や暗号通貨ウォレット情報を盗むために作られた商用マルウェアです。これまでの3年間で、このマルウェアはランサムウェア攻撃、暗号通貨窃盗、ビジネスメール詐欺（BEC）、アカウント乗っ取り、サイバースパイ活動など、さまざまなサイバー犯罪で確認されています。

「ユーザーは偽のクラックソフトウェア、詐欺的なウェブサイト、ソーシャルメディア投稿を通じてLumma Stealerをダウンロードするよう誘導される可能性があります」と記事は述べています。「組織の観点から見ると、サイバーセキュリティ意識がほとんどない、または全くない従業員がこれらの攻撃の被害者になる恐れがあります。」

摘発後のインフラ変化

摘発前、Lummaは2022年末から活動しており、その時点で運営者は大規模なインフラを構築していました。摘発後のESETの調査によると、Lummaの開発者は毎週74の新しいドメインをマルウェアのインフラ用に展開しており、過去1年間で合計3,353のユニークなコマンド＆コントロールドメインが使用されていました。

しかし、新たな活動では摘発以降、Lummaのインフラにいくつかの変化が見られます。法執行機関の介入前は、LummaはCloudflareのインフラを多用して悪意のあるドメインを隠していました。広く信頼されている正規サービスを利用することで、サーバーの実際の所在を隠し、検知や追跡を困難にしていました。

しかし、摘発後はその手法が変化し、Cloudflareの悪用件数は全体的に減少しましたが、一部のドメインでは依然として同サービスが使われています。これはLummaの運営者が「より監視されやすい大手企業やインフラへの依存を意図的に減らしている可能性がある」とDela Cruz氏は指摘しています。

最近の活動では、ロシアを拠点とするクラウドインフラやデータセンターサービスなど、さまざまな代替サービスプロバイダーへの依存が見られます。これにはロシアのサービスプロバイダーであるSelectelが含まれ、6月には運営者が同社を多用していたとDela Cruz氏は述べています。Selectelは長年にわたり脅威アクターに悪用されており、セキュリティ研究者によれば、同社は悪意のある活動にほとんど対応しないと指摘されています。

「この戦略的な転換は、法執行機関からの要請に対して対応が鈍いと見なされるプロバイダーへの移行を示唆しており、活動の追跡や妨害をさらに困難にしています」とDela Cruz氏は述べています。

最新の配布キャンペーン

Trend Microはまた、摘発以降のLummaのさまざまな配布チャネルを観測しており、その中には従来からの手法もあれば、新たな戦術も見られます。

摘発後に最も多く見られるキャンペーンの一つは、クラックソフトウェアやキージェネレーターを利用したものです。これらは正規ソフトの無料版や人気アプリの偽アンロッカーを装った悪意のあるソフトウェアダウンロードです。前者は、Lumma摘発直前に運営者が使っていた配布手法で、Shellter Eliteバージョン11.0の偽バージョン（商用のAV/EDR回避フレームワーク）でLumma Stealerが確認されています。

Lummaはまた、ClickFixも利用しています。これは摘発前にも使われていた手法で、昨年Proofpointの研究者が、改ざんされたウェブサイトが訪問者に偽のエラーメッセージを表示し、偽のブラウザアップデートをダウンロードさせる攻撃手法として明らかにしています。これにより様々なマルウェアが配布されます。

最新のLummaキャンペーンでは、ClickFixを利用して攻撃者が改ざんされたウェブサイトに悪意のあるJavaScriptを注入し、偽のCAPTCHAページを表示させ、最終的にLummaを配布します。Trend Microはまた、3月のLummaキャンペーンの再来も観測しています。ここでは脅威アクターが自動的にGitHubユーザーアカウントとリポジトリを作成し、AI生成のREADMEファイルを配置します。「これらのリポジトリは通常、ゲーム関連のチートやエクスプロイトのダウンロードを宣伝し、ユーザーが意図せずマルウェアをインストールするよう誘導しています」とDela Cruz氏は記しています。

さらに、LummaはYouTubeやFacebookなどのソーシャルメディアキャンペーンでも配布されており、前者ではクラックソフトにLummaが隠され、後者ではマルウェアをホストするウェブサイトの偽広告が使われています。

しつこい攻撃には警戒が必要

Lummaの再興は、現代のサイバー犯罪組織が大規模な法執行機関による摘発の後でもすぐに活動を再開できることを示す典型例だとDela Cruz氏は述べています。また、Lummaがマルウェア・アズ・ア・サービス（MaaS）として提供されているため、「技術的な知識がほとんどない、あるいは全くない者」でも攻撃を実行でき、マルウェアの拡散範囲が最大化されているとTrend Microのブログ記事は指摘しています。

Lummaの活動が非常に速いことを踏まえ、組織は脅威インテリジェンスの積極的な活用と、法執行機関およびサイバーセキュリティコミュニティとの継続的な連携を実践し、マルウェアの追跡を続けるべきです。

また、従業員に対して、Lummaの既知および現在進行中のキャンペーンに関する脅威、すなわち詐欺的・悪意のあるソフトウェアの提供、ウェブサイト、ソーシャルメディア投稿などを見分ける訓練を行い、マルウェアによる企業の汚染を未然に防ぐべきだとTrend Microは述べています。

「サイバーセキュリティツールによる積極的な防御も、組織をさらに守ることができます」とDela Cruz氏は指摘しています。