• XSS.stack #1 – первый литературный журнал от юзеров форума

Группировка Angry Likho использует стилер Lumma против госорганизаций и их подрядчиков

Отслеживать
Desconocido

Desconocido

Mundus vult decipi, ergo decipiatur
Пользователь
Регистрация
23.01.2020
Сообщения
309
Реакции
138
По данным «Лаборатории Касперского», хак-группа Angry Likho (она же Sticky Werewolf) готовит новую волну целевых атак с середины января 2025 года. Главные цели злоумышленников находятся в России и Беларуси, это сотрудники крупных корпораций: государственных организаций и их подрядчиков.

Исследователи сообщают, что Angry Likho действует как минимум с 2023 года. Она очень похожа на Awaken Likho, однако атаки Angry Likho больше похожи на целевые.


Исследователи также отмечают, что главные цели злоумышленников находятся в России и Беларуси, а остальные жертвы случайны. Причем в число пострадавших могли попасть исследователи, использующие песочницы или выходные узлы Tor- и VPN-сетей.

Группировка проводит атаки с определенной периодичностью, то на некоторое время приостанавливая деятельность, то возобновляя ее, незначительно меняя техники. В рамках новой кампании эксперты обнаружили несколько десятков вредоносных имплантов, а также дополнительные управляющие серверы злоумышленников.

Атаки начинаются с того, что злоумышленники рассылают фишинговые письма с самораспаковывающимися вредоносными архивами, созданными под конкретных пользователей. Большинство таких архивов имеют русскоязычные названия и содержат файлы-приманки на русском, тематически связанные преимущественно с российскими государственными учреждениями.



Если жертва открывает вложение, на устройство проникает стилер Lumma. Он собирает различные данные с зараженной машины — от банковских реквизитов из браузеров до файлов криптокошельков, в том числе информацию о системе и установленных программах, а также файлы cookie, имена пользователей и их пароли, номера банковских карт и сведения из журнала подключений.

Главные цели группировки — кража данных при помощи стилеров и установление полного контроля над зараженной машиной за счет вредоносных утилит удаленного администрирования.

«Кибергруппа Angry Likho использует доступные вредоносные утилиты, которые можно приобрести на специализированных форумах в даркнете, а самостоятельно проделывает лишь малую часть работы: пишет компоненты механизма доставки зловреда на устройство жертвы и проводит целевую рассылку имплантов. Приемы, которые применяют злоумышленники, меняются незначительно, но им удается достигать своих целей. Мы продолжаем наблюдать за этой угрозой и проактивно защищать от нее», — комментирует Алексей Шульмин, эксперт по кибербезопасности «Лаборатории Касперского».

источник
 
byfly сказал(а):
Тоже очень интересно как она отрабатывает на РУ тачках!
речь скорее всего идет про другой стилак люма,не с2.где то тут на форуме была тема ,если не снесли.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Либо эксперты в статье ошиблись, либо она целиком заказная.
Все наши клиенты в курсе, что при попытке открыть файл на любой машине где установлен русский язык файл прекращает свою работу с сообщением «this country is not supported». Даже если вырезать проверку из билда, или язык системы был не русский - проверяется IP-адрес системы, и если он принадлежит одной из стран СНГ - файл на сервер не отправляется.

Я предлагаю любому из администраторов Quake3, admin, waahoo выдать билд на реверс. Так же, любой из них может скачать любой билд за любую дату (чтобы исключить подтасовку) с любых доступных источников (например ThreatFox или MalwareBazzar).

Мы никогда не работали по России и Беларуси, не исключаем что файлы могли попадать на русские машины, но они никак не могли быть там выполнены так как просто не прошли бы проверку ни по локали ни по IP-адресу. Мы всегда придерживались идеологии «не срать там где живешь» и мы глубокие патриоты наших стран.

Ниже предоставим скрины для подкрепления доказательствами того, о чем мы говорим. К вашему вниманию онлайн статистика, а так же сообщение с блокировкой из билда.

IMG_5772.jpeg

IMG_5771.jpeg
 
Пожалуйста, обратите внимание, что пользователь заблокирован
Так же, для выяснения «откуда растут ноги» мы связались по доступным контактам (@KasperskyCrew) с редакцией антивируса «Касперский», ответа от нее пока не получили.
Аналогично и с редакцией журнала Xaker, которые по сути просто репостнули первоначальную новость Касперского.

Вероятно это такая же точно ошибка как то, что Lumma - это новая версия Arkei, что тоже не может быть правдой, в 2018 когда гремел Arkei я еще и не думал заниматься Lumma - (вот статья о которой я говорю https://www.kaspersky.ru/about/pres...skazala-o-novyh-versiyah-finansovyh-zlovredov) цитата:
Откуда взялся Lumma. Его предвестник — стилер Arkei, впервые замеченный в мае 2018 года. Lumma — это новая версия Arkei.

IMG_5774.jpeg
 
byfly сказал(а):
Тоже очень интересно как она отрабатывает на РУ тачках!
Напоминает историю с Meduza , где предоставлялась "особая услуга" по отключению проверок на конкретном аккаунте и выдача модифицированных билдов, чтобы стучало везде.

Lumma сказал(а):
Я предлагаю любому из администраторов Quake3, admin, waahoo выдать билд на реверс. Так же, любой из них может скачать любой билд за любую дату (чтобы исключить подтасовку) с любых доступных источников (например ThreatFox или MalwareBazzar).
В публичных базах типа ThreatFox или MalwareBazzar тысячи образцов каждый день, искать измененный билд среди них все равно, что иголку в стоге сена. А если у вас есть снятие ограничений для "особых клиентов" на стороне сервера, то это вообще невозможно проверить, доступ к своим серверам и исходному коду вы не выдадите даже admin, а если и выдадите, то там может быть заготовка без палева.
 
Пожалуйста, обратите внимание, что пользователь заблокирован
montanaboy сказал(а):
Напоминает историю с Meduza , где предоставлялась "особая услуга" по отключению проверок на конкретном аккаунте и выдача модифицированных билдов, чтобы стучало везде.


В публичных базах типа ThreatFox или MalwareBazzar тысячи образцов каждый день, искать измененный билд среди них все равно, что иголку в стоге сена. А если у вас есть снятие ограничений для "особых клиентов" на стороне сервера, то это вообще невозможно проверить, доступ к своим серверам и исходному коду вы не выдадите даже admin, а если и выдадите, то там может быть заготовка без палева.
Таким образом можно «убрать» абсолютно любой продукт с рынка, просто сказав что он может быть имеет с кем-то договоренность по «особой работе». Как я выше сказал - я запросил образцы у Касперского и у редакции Хакер. Ничего не мешает сделать тоже самое и администрации форума. Если мне их выдадут, я так же их передам.

Еще одно подтверждение что статья желтая - отсылка в статье Хакер на статью с SecureList (https://securelist.ru/angry-likho-apt-attacks-with-lumma-stealer/111867/), где снизу приведены семплы полезных нагрузок. Ни одна из них не имеет к нам отношения.
Домены, указанные в статье, недействительны еще с середины 2024 года, это так же можно легко проверить, но даже в середине 2024 года у нас был геолок (на тот момент только на стороне сервера).
Таким образом, в статье говорится, что атака будет (или была) проведена в январе, а приводятся домены которые были отключены еще в мае 2024 года, но на которых так же стоял геолок по IP-адресу. Это огромное временное расхождение в больше чем пол года.

Вот домен приведенный в статье, он недействителен еще с июля месяца. Но даже тогда была блокировка по IP на стороне сервера. Единственное что, в то время еще не было блокировок по локали на стороне билда, которые мы добавили спустя пару месяцев.
IMG_5778.jpeg


Я готов admin выдать доступ к серверу который принимает отстук от клиентов для проверки «закладок» и доступ этот у него оставить чтобы было видно, что там ничего не меняется.
 
Lumma сказал(а):
Таким образом можно «убрать» абсолютно любой продукт с рынка, просто сказав что он может быть имеет с кем-то договоренность по «особой работе». Как я выше сказал - я запросил образцы у Касперского и у редакции Хакер. Ничего не мешает сделать тоже самое и администрации форума. Если мне их выдадут, я так же их передам.

Еще одно подтверждение что статья желтая - отсылка в статье Хакер на статью с SecureList (https://securelist.ru/angry-likho-apt-attacks-with-lumma-stealer/111867/), где снизу приведены семплы полезных нагрузок. Ни одна из них не имеет к нам отношения.
Домены, указанные в статье, недействительны еще с середины 2024 года, это так же можно легко проверить, но даже в середине 2024 года у нас был геолок (на тот момент только на стороне сервера).
Таким образом, в статье говорится, что атака будет (или была) проведена в январе, а приводятся домены которые были отключены еще в мае 2024 года, но на которых так же стоял геолок по IP-адресу. Это огромное временное расхождение в больше чем пол года.

Вот домен приведенный в статье, он недействителен еще с июля месяца. Но даже тогда была блокировка по IP на стороне сервера. Единственное что, в то время еще не было блокировок по локали на стороне билда, которые мы добавили спустя пару месяцев.
Посмотреть вложение 104377

Я готов admin выдать доступ к серверу который принимает отстук от клиентов для проверки «закладок» и доступ этот у него оставить чтобы было видно, что там ничего не меняется.
в ноябре-декабре, у меня было на руках пару логов с вашего стиллера, где у ботов были ру дириктории папок в системе, в целом было похоже что бот стукнул находясь под впном.
постараюсь поискать скриншоты и приложить ниже
 
warp сказал(а):
в ноябре-декабре, у меня было на руках пару логов с вашего стиллера, где у ботов были ру дириктории папок в системе, в целом было похоже что бот стукнул находясь под впном.
постараюсь поискать скриншоты и приложить ниже
И к чему вообще это? Кодер сделал от себя все что мог чтобы билд не запускался на цис машинах (чек языка+айпи).
Малваре аналитики securelist не тупые, врятли они так ошиблись. Хотя они ни одной причины не написали почему они решили что это луммак
Скорее всего это колхозный патч билда от понадусеровых каклошвайнов которые дрочат на никиту кныша.
В ракуне и азорульте например так скипали проверку языка, и домен который возвращает страну айпи в json как то подменяли на свой который всегда возращает допустим US для любого айпи.
 
dunkel сказал(а):
И к чему вообще это? Кодер сделал от себя все что мог чтобы билд не запускался на цис машинах (чек языка+айпи).
Малваре аналитики securelist не тупые, врятли они так ошиблись. Хотя они ни одной причины не написали почему они решили что это луммак
Скорее всего это колхозный патч билда от понадусеровых каклошвайнов которые дрочат на никиту кныша.
В ракуне и азорульте например так скипали проверку языка, и домен который возвращает страну айпи в json как то подменяли на свой который всегда возращает допустим US для любого айпи.
к тому что выносить в бан селлера без обьяснения причин(по первому пруфу снг стука) немного перебор ИМХО.
не пойми не правильно, я не пытаюсь доказать виновность люммы, на его месте я бы вообще чекал любую кириллицу на системе бота перед стуком, возможно я бы смог предоставить ему этот лог что бы разобраться почему он стукнул
 
warp сказал(а):
к тому что выносить в бан селлера без обьяснения причин(по первому пруфу снг стука) немного перебор ИМХО
Никто и не собирался никого банить, где ты это увидел? Банили только тех кто устно правило у себя в продажнике прописал, но по факту логи с country code: ru и т.д прилетали. А чекать любую кирилицу это тоже самое что чекнуть язык клавиатуры, потому что юзер не может написать карилическое название папки без ru языка в системе
 
могли зареверсить билд и переписать , думаю тай хай лвл чуваки и ето не затруднит их сделать дабы не писать с нуля
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх