摘要

联邦调查局（FBI）和网络安全与基础设施安全局（CISA）发布此联合咨询，旨在传播与威胁行为者部署LummaC2信息窃取恶意软件相关的已知战术、技术和程序（TTP）以及入侵指标（IOC）。LummaC2恶意软件能够渗透受害者计算机网络并窃取敏感信息，威胁美国多个关键基础设施部门的脆弱个人和组织。

技术细节

概述

LummaC2恶意软件于2022年首次在多个俄语网络犯罪论坛上出售。威胁行为者经常使用鱼叉式网络钓鱼超链接和附件来部署LummaC2恶意软件有效载荷。此外，威胁行为者依赖不知情用户点击虚假的完全自动化公共图灵测试（CAPTCHA）来执行有效载荷。

文件执行

执行后，LummaC2.exe文件将进入其主例程，包括四个子例程：

1. 第一个例程解密显示给用户的消息框字符串
2. 第二个例程解密其回调命令与控制（C2）域
3. 第三个例程查询用户名和计算机名
4. 第四个例程进入主回调例程

C2指令

C2使用JSON配置解析其浏览器扩展和目标列表：

• Opcode 0 - 通用数据窃取
• Opcode 1 - 窃取浏览器数据（除Mozilla外）
• Opcode 2 - 窃取Mozilla浏览器数据
• Opcode 3 - 下载文件
• 截图功能 - 以BMP格式截图并上传到C2服务器
• 自删除功能 - 删除自身

主机修改

在没有C2交互的情况下，LummaC2恶意软件不会在受感染驱动器上创建任何文件。它仅在内存中运行，收集系统信息并将其外传到C2服务器。

入侵指标

可执行文件哈希

观察到的域名

• Pinkipinevazzey[.]pw
• Fragnantbui[.]shop
• Medicinebuckerrysa[.]pw

MITRE ATT&CK战术和技术

初始访问

• T1566 网络钓鱼
• T1566.001 鱼叉式网络钓鱼附件
• T1566.002 鱼叉式网络钓鱼链接

防御规避

• T1027 混淆文件或信息
• T1036 伪装
• T1140 反混淆/解码文件或信息

缓解措施

FBI和CISA建议组织实施以下缓解措施：

1. 分离用户和特权账户：仅允许必要用户和应用程序访问注册表
2. 监控和检测可疑行为：在利用期间监控创建和终止事件
3. 实施应用程序控制：管理和控制软件执行
4. 防范网络钓鱼活动：实施CISA的网络钓鱼指南
5. 日志收集：定期监控和审查注册表更改和访问日志
6. 实施AAA系统：限制用户可执行的操作
7. 保持系统更新：定期更新、修补程序和服务包
8. 使用分段：防止访问敏感系统和信息

报告

组织没有义务响应此联合咨询或向FBI提供信息。如果决定提供信息，报告必须符合适用的州和联邦法律。