摘要
联邦调查局(FBI)和网络安全与基础设施安全局(CISA)发布此联合咨询,旨在传播与威胁行为者部署LummaC2信息窃取恶意软件相关的已知战术、技术和程序(TTP)以及入侵指标(IOC)。LummaC2恶意软件能够渗透受害者计算机网络并窃取敏感信息,威胁美国多个关键基础设施部门的脆弱个人和组织。根据FBI信息和可信第三方报告,最近在2025年5月仍观察到此类活动。本咨询中包含的IOC与2023年11月至2025年5月期间的LummaC2恶意软件感染相关。
FBI和CISA鼓励组织实施本咨询缓解措施部分的建议,以降低LummaC2恶意软件的可能性和影响。
技术细节
注意:本咨询使用MITRE ATT&CK® Matrix for Enterprise框架,版本17。有关威胁行为者活动与MITRE ATT&CK战术和技术的映射,请参见本咨询的MITRE ATT&CK战术和技术部分。
概述
LummaC2恶意软件于2022年首次在多个俄语网络犯罪论坛上出售。威胁行为者经常使用鱼叉式网络钓鱼超链接和附件来部署LummaC2恶意软件有效载荷[T1566.001, T1566.002]。此外,威胁行为者依赖不知情用户通过点击虚假的完全自动化的公共图灵测试(CAPTCHA)来执行有效载荷。CAPTCHA包含指示用户打开Windows运行窗口(Windows按钮 + R)并粘贴剪贴板内容(“CTRL + V”)。用户按下"enter"后,会执行后续的Base64编码的PowerShell进程。
为混淆其操作,威胁行为者已将LummaC2恶意软件嵌入并分发在伪造或假冒的流行软件(即多媒体播放器或实用软件)中[T1036]。该恶意软件的混淆方法使LummaC2行为者能够绕过标准网络安全措施,例如端点检测和响应(EDR)解决方案或防病毒程序,这些措施旨在标记常见的网络钓鱼尝试或路过式下载[T1027]。
一旦受害者的计算机系统被感染,该恶意软件可以窃取敏感用户信息,包括个人身份信息、财务凭证、加密货币钱包、浏览器扩展和多因素认证(MFA)详细信息,而不会被立即检测到[TA0010, T1119]。私营部门统计数据显示,从2024年4月到6月,在多个网络犯罪论坛上有超过21,000个市场列表出售LummaC2日志,比2023年4月到6月增加了71.7%。
文件执行
执行时,LummaC2.exe文件将进入其主例程,其中包括四个子例程(见图1)。
图1. LummaC2主例程
第一个例程解密显示给用户的消息框的字符串(见图2)。
图2. 消息框
如果用户选择“否”,恶意软件将退出。如果用户选择“是”,恶意软件将进入下一个例程,该例程解密其回调命令与控制(C2)域[T1140]。观察到的域列表包含在入侵指标部分。
每个域解码后,植入程序将尝试POST请求[T1071.001](见图3)。
图3. POST请求
如果POST请求成功,指向解码后域字符串的指针将保存在全局变量中,以供后续在主C2例程中用于检索JSON格式的命令(见图4)。
图4. 保存成功回调请求的代码
一旦联系到有效的C2域并保存,恶意软件将进入下一个例程,该例程分别利用应用程序编程接口(API)GetUserNameW和GetComputerNameW查询用户名和计算机名[T1012]。返回的数据随后被哈希处理并与硬编码的哈希值进行比较(见图5)。
图5. 用户和计算机名检查
哈希例程未被识别为标准算法;然而,它是一个将Unicode字符串转换为32位十六进制值的简单例程。
如果用户名哈希等于值0x56CF7626,则查询计算机名。如果查询的计算机名长度为七个字符,则对该名称进行哈希处理并与硬编码值0xB09406C7进行检查。如果两个值匹配,将调用一个最终子例程,并以计算机名哈希的静态值作为参数。如果达到此例程,进程将终止。这很可能是一种安全机制,用于防止恶意软件在攻击者自己的系统上运行,因为其算法是单向的,不会泄露攻击者自己主机名和用户名的详细信息。
如果用户名和主机名检查函数返回零(与硬编码值不匹配),恶意软件将进入其主回调例程。LummaC2恶意软件将联系之前检查中保存的主机名,并发送以下POST请求(见图6)。
图6. 第二个POST请求
从C2服务器返回的数据是加密的。一旦解码,C2数据采用JSON格式,并由LummaC2恶意软件解析。C2使用JSON配置解析其浏览器扩展和目标列表,使用包含对象数组的ex键(见图7)。
图7. 解析ex JSON值
解析c键包含一个对象数组,这将为植入程序提供其C2(见图8)。
图8. 解析c JSON值
C2指令
每个包含JSON键值t的数组对象将被评估为命令操作码,导致以下子章节中的C2指令。
1. 操作码0 – 通用窃取数据
此命令允许在窃取数据时定义五个字段,提供最大的灵活性。操作码0命令选项允许LummaC2关联人员添加其自定义信息收集详细信息(见表1)。
表1. 操作码0选项
| 键 | 值 |
|---|---|
| 键 p | 值 要窃取的路径 |
| 键 m | 值 要读取的文件扩展名 |
| 键 z | 值 存储窃取数据的输出目录 |
| 键 d | 值 递归深度 |
| 键 fs | 值 最大文件大小 |
2. 操作码1 – 窃取浏览器数据
此命令仅允许两个选项:路径和输出目录的名称。基于样本配置下载,此命令用于除Mozilla之外的浏览器数据窃取[T1217](见表2)。
表2. 操作码1选项
| 键 | 值 |
|---|---|
| 键 p | 值 要窃取的路径 |
| 键 z | 值 浏览器名称 – 输出 |
3. 操作码2 – 窃取浏览器数据(Mozilla)
此命令与操作码1相同;然而,此选项似乎仅用于Mozilla浏览器数据(见表3)。
表3. 操作码2选项
| 键 | 值 |
|---|---|
| 键 p | 值 要窃取的路径 |
| 键 z | 值 浏览器名称 – 输出 |
4. 操作码3 – 下载文件
此命令包含三个选项:URL、文件扩展名和执行类型。配置可以指定一个远程文件(使用u键)下载并创建在ft键中指定的扩展名[T1105](见表4)。
表4. 操作码3选项
| 键 | 值 |
|---|---|
| 键 u | 值 下载URL |
| 键 ft | 值 文件扩展名 |
| 键 e | 值 执行类型 |
e值可以取两个值:0或1。这指定了如何执行下载的文件,要么使用LoadLibrary API,要么通过命令行使用rundll32.exe [T1106](见表5)。
表5. 执行类型
| 键 | 值 |
|---|---|
| 键 e=0 | 值 使用LoadLibraryW()执行 |
| 键 e=1 | 值 使用rund1132.exe执行 |
5. 截屏
如果配置JSON文件有一个键为“se”且其值为“true”,恶意软件将截取BMP格式的屏幕截图并将其上传到C2服务器。
6. 自我删除
如果配置JSON文件有一个键为“ad”且其值为“true”,恶意软件将进入自我删除的例程。
将解码并执行图9中显示的命令以进行自我删除。
图9. 自我删除命令行
图10描述了执行过程中的上述命令行。
图10. 内存中解码的命令行
主机修改
没有任何C2交互时,LummaC2恶意软件不会在受感染的驱动器上创建任何文件。它仅在内存中运行,收集系统信息并将其泄露到C2服务器[T1082]。从C2服务器返回的命令可能表明它丢弃了其他文件和/或将数据保存到本地硬盘上的文件。这是可变的,因为这些命令来自C2服务器并且是可变的。
解密字符串
以下是二进制文件中硬编码的解密字符串列表(见图11)。
图11. 解码字符串
入侵指标
有关FBI和可信第三方获取的LummaC2 IOC,请参见表6和表7。
免责声明:撰写机构建议组织在采取行动(例如阻止)之前调查和审查这些入侵指标。
表6. LummaC2可执行文件哈希
| 可执行文件 | 类型 |
|---|---|
| 4AFDC05708B8B39C82E60ABE3ACE55DB(2023年11月的LummaC2.exe) | MD5 |
| E05DF8EE759E2C955ACC8D8A47A08F42(2023年11月的LummaC2.exe) | MD5 |
| C7610AE28655D6C1BCE88B5D09624FEF | MD5 |
| 1239288A5876C09D9F0A67BCFD645735168A7C80(2023年11月的LummaC2.exe) | SHA1 |
| B66DA4280C6D72ADCC68330F6BD793DF56A853CB(2023年11月的LummaC2.exe) | SHA1 |
| 3B267FA5E1D1B18411C22E97B367258986E871E5 | TLSH |
| 19CC41A0A056E503CC2137E19E952814FBDF14F8D83F799AEA9B96ABFF11EFBB(2023年11月) | SHA256 |
| 2F31D00FEEFE181F2D8B69033B382462FF19C35367753E6906ED80F815A7924F(2023年11月的LummaC2.exe) | SHA256 |
| 4D74F8E12FF69318BE5EB383B4E56178817E84E83D3607213160276A7328AB5D | SHA256 |
| 325daeb781f3416a383343820064c8e98f2e31753cd71d76a886fe0dbb4fe59a | SHA256 |
| 76e4962b8ccd2e6fd6972d9c3264ccb6738ddb16066588dfcb223222aaa88f3c | SHA256 |
| 7a35008a1a1ae3d093703c3a34a21993409af42eb61161aad1b6ae4afa8bbb70 | SHA256 |
| a9e9d7770ff948bb65c0db24431f75dd934a803181afa22b6b014fac9a162dab | SHA256 |
| b287c0bc239b434b90eef01bcbd00ff48192b7cbeb540e568b8cdcdc26f90959 | SHA256 |
| ca47c8710c4ffb4908a42bd986b14cddcca39e30bb0b11ed5ca16fe8922a468b | SHA256 |
表7. LummaC2 DLL二进制文件
| DLL二进制文件 | 类型 |
|---|---|
| iphlpapi.dll | IP Helper API |
| winhttp.dll | Windows HTTP Services |
以下是观察到的部署LummaC2恶意软件的域。
免责声明:以下域具有历史性质,当前可能并非恶意。
|
|
MITRE ATT&CK战术和技术
有关本咨询中引用的所有威胁行为者战术和技术,请参见表8至表13。有关将恶意网络活动映射到MITRE ATT&CK框架的帮助,请参见CISA和MITRE ATT&CK的MITRE ATT&CK映射最佳实践以及CISA的Decider工具。
表8. 初始访问
| 技术标题 | ID | 使用 |
|---|---|---|
| 技术标题 网络钓鱼 | ID T1566 | 使用 威胁行为者通过网络钓鱼电子邮件传递LummaC2恶意软件。 |
| 技术标题 网络钓鱼:鱼叉式网络钓鱼附件 | ID T1566.001 | 使用 威胁行为者使用鱼叉式网络钓鱼附件部署LummaC2恶意软件有效载荷。 |
| 技术标题 网络钓鱼:鱼叉式网络钓鱼链接 | ID T1566.002 | 使用 威胁行为者使用鱼叉式网络钓鱼超链接部署LummaC2恶意软件有效载荷。 |
表9. 防御规避
| 技术标题 | ID | 使用 |
|---|---|---|
| 技术标题 混淆文件或信息 | ID T1027 | 使用 威胁行为者混淆恶意软件以绕过旨在标记常见网络钓鱼尝试或路过式下载的标准网络安全措施。 |
| 技术标题 伪装 | ID T1036 | 使用 威胁行为者通过伪造软件传递LummaC2恶意软件。 |
| 技术标题 去混淆/解码文件或信息 | ID T1140 | 使用 威胁行为者使用LummaC2恶意软件解密其回调C2域。 |
表10. 发现
| 技术标题 | ID | 使用 |
|---|---|---|
| 技术标题 查询注册表 | ID T1012 | 使用 威胁行为者使用LummaC2恶意软件查询用户名和计算机名,利用API GetUserNameW和GetComputerNameW。 |
| 技术标题 浏览器信息发现 | ID T1217 | 使用 威胁行为者使用LummaC2恶意软件窃取浏览器数据。 |
表11. 收集
| 技术标题 | ID | 使用 |
|---|---|---|
| 技术标题 自动收集 | ID T1119 | 使用 LummaC2恶意软件自动收集各种信息,包括加密货币钱包详细信息。 |
表12. 命令与控制
| 技术标题 | ID | 使用 |
|---|---|---|
| 技术标题 应用层协议:Web协议 | ID T1071.001 | 使用 威胁行为者使用LummaC2恶意软件尝试POST请求。 |
| 技术标题 入口工具传输 | ID T1105 | 使用 威胁行为者使用LummaC2恶意软件将远程文件传输到受感染系统。 |
表13. 渗出
| 技术标题 | ID | 使用 |
|---|---|---|
| 技术标题 渗出 | ID TA0010 | 使用 威胁行为者使用LummaC2恶意软件窃取敏感用户信息,包括传统凭证、加密货币钱包、浏览器扩展和MFA详细信息,而不会被立即检测到。 |
| 技术标题 原生API | ID T1106 | 使用 威胁行为者使用LummaC2恶意软件通过原生OS API下载文件。 |
缓解措施
FBI和CISA建议组织实施以下缓解措施,以降低LummaC2恶意软件入侵的风险。这些缓解措施与CISA和国家标准与技术研究院(NIST)制定的跨部门网络安全性能目标(CPG)保持一致。CPG提供了一套最低限度的实践和保护措施,CISA和NIST建议所有组织实施。CISA和NIST基于现有的网络安全框架和指南制定了CPG,以防范最常见和影响最大的威胁、战术、技术和程序。访问CISA的CPG网页以获取有关CPG的更多信息,包括额外推荐的基线保护。这些缓解措施适用于所有关键基础设施组织。
- 分离用户和特权账户:仅允许必要的用户和应用程序访问注册表[CPG 2.E]。
- 监控和检测利用过程中的可疑行为[CPG 3.A]。
- 监控和检测可疑行为、创建和终止事件以及运行异常和意外进程。
- 监控可能尝试检索系统信息的API调用。
- 分析进程活动的行为模式以识别异常。
- 有关更多信息,请访问CISA的指南:通信基础设施的增强可见性和强化指南。
- 实施应用程序控制以管理和控制软件的执行,包括允许列表远程访问程序。应用程序控制应防止安装和执行未经授权的远程访问及其他软件的可移植版本。正确配置的应用程序允许列表解决方案将阻止任何未列出的应用程序执行。允许列表很重要,因为当文件使用压缩、加密或混淆的任何组合时,防病毒解决方案可能无法检测到恶意可移植可执行文件的执行。
- 通过实施CISA的网络钓鱼指南和防网络钓鱼的多因素认证来防范威胁行为者的网络钓鱼活动[CPG 2.H]。
- 日志收集:定期监控和审查注册表更改和访问日志可以支持检测LummaC2恶意软件[CPG 2.T]。
- 实施认证、授权和记账(AAA)系统[M1018]以限制用户可以执行的操作,并审查用户操作日志以检测未经授权的使用和滥用。将最小权限原则应用于用户帐户和组,仅允许执行授权操作。
- 审计用户账户并撤销离职员工的凭证,定期删除不活动或不必要的账户[CPG 2.D]。限制用户账户创建额外账户的能力。
- 通过定期更新、补丁、热修复和服务包保持系统最新,以最小化漏洞。了解更多信息,请访问CISA的网页:保护我们的世界更新软件。
- 保护网络设备以限制命令行访问。
- 了解更多关于防御恶意使用远程访问软件的信息,请访问CISA的保护远程访问软件指南。
- 使用分段来防止访问敏感系统和信息,可能使用非军事区(DMZ)或虚拟私有云(VPC)实例来隔离系统[CPG 2.F]。
- 监控和检测API使用,寻找异常或恶意行为。
验证安全控制
除了应用缓解措施外,FBI和CISA建议针对本咨询中映射到MITRE ATT&CK Matrix for Enterprise框架的威胁行为来演练、测试和验证组织的安全计划。FBI和CISA建议测试您现有的安全控制清单,以评估针对本咨询中描述的ATT&CK技术的性能。
开始步骤:
- 选择本咨询中描述的ATT&CK技术(见表8至表13)。
- 使您的安全技术与该技术对齐。
- 针对该技术测试您的技术。
- 分析您的检测和预防技术的性能。
- 对所有安全技术重复此过程,以获得一套全面的性能数据。
- 根据此过程生成的数据调整您的安全计划,包括人员、流程和技术。
FBI和CISA建议持续在生产环境中大规模测试您的安全计划,以确保针对本咨询中识别的MITRE ATT&CK技术的最佳性能。
报告
您的组织没有义务响应此联合咨询或向FBI提供信息。如果在审查所提供的信息后,您的组织决定向FBI提供信息,报告必须符合适用的州和联邦法律。
FBI对可以共享的任何信息感兴趣,包括感染的状态和范围、估计损失、感染日期、检测日期、初始攻击向量以及基于主机和网络的指标。
要报告信息,请联系FBI的互联网犯罪投诉中心(IC3)、您当地的FBI外地办事处或CISA的24/7运营中心,邮箱:report@cisa.gov或电话:(888) 282-0870。
免责声明
本报告中的信息“按原样”提供,仅用于 informational purposes。FBI和CISA不认可任何商业实体、产品、公司或服务,包括本文档内链接的任何实体、产品或服务。对特定商业实体、产品、流程或服务的任何引用,无论是通过服务标志、商标、制造商还是其他方式,均不构成或暗示FBI和CISA的认可、推荐或偏爱。
致谢
ReliaQuest对本咨询做出了贡献。
版本历史
- 2025年5月21日:初始版本。