Группировка Angry Likho использует стилер Lumma против госорганизаций и их подрядчиков

[Lumma]

До августа 2024 года проверка на СНГ осуществлялась по IP-адресу, позже мы решили, что этого недостаточно (потому что VPN) и добавили дополнительную проверку по Языку системы.
Считаем, что добавление новых проверок (например раскладки клавиатуры) - избыточно.

Мы НИКОГДА не открывали отстук по СНГ за деньги или за красивые глазки. Это ни раз отмечалось в наших обновлениях и это можно легко проверить написав нам в абсолютно любой момент времени и предложив подобное.

 

[montanaboy]

на которых так же стоял геолок по IP-адресу

Но даже тогда была блокировка по IP на стороне сервера

Это невозможно проверить. Поэтому не аргумент.

Я готов admin выдать доступ к серверу который принимает отстук от клиентов для проверки «закладок» и доступ этот у него оставить чтобы было видно, что там ничего не меняется.

А где гарантии, что это не подставная версия сервера? Или временно исправленная основная ? Админ не будет сидеть наблюдать за вами месяцами, у него дел полно и вы это прекрасно понимаете.
Вы легко можете выдать измененный билд какому-то доверенному лицу, который вас не сдаст и отключить проверки на его прокладках или где там они у вас. Это все можно настроить персонально для конкретного пользователя.

Банили только тех кто устно правило у себя в продажнике прописал, но по факту логи с country code: ru и т.д прилетали.

У меня есть весомые основания считать, что сейчас так делает большинство стиллеров, но некоторые делают это очень глупо. А "особые клиенты" это организации, сами знаете какие. К селлеру обращаются люди, которых обычно видят в масках, и ставят перед выбором: либо лес валить на север, либо трудиться на благо отечества.

 

[HikMbed]

Рансомы также мусолили, в итоге что? Правильно, запретили рансомы. Теперь давайте запрещайте стиллеры.Люма чтобы не говорил, всё равно мнения расходятся, у каждого своя правда. Закрыто.

 

[Lumma]

К селлеру обращаются люди, которых обычно видят в масках, и ставят перед выбором: либо лес валить на север, либо трудиться на благо отечества.

Трудиться на благо отечества
Стучать по ру

Еще раз повторюсь, любые проверки назначенные администрацией, модераторами или любыми другими аналитиками Мы готовы пройти. Я не вижу никакой даже экономической выгоды стучать по России или Беларуси, это даже просто опасно для нас. Дальнейшее обсуждение здесь считаю бессмысленным.

 

[montanaboy]

Я не вижу никакой даже экономической выгоды стучать по России или Беларуси, это даже просто опасно для нас.

Ни про какую выгоду конкретно для вас речь не шла. Опасно, конечно, когда это делается по собственной инициативе, а не по просьбе названых выше организаций. И такие просьбы обычно не предполагают возможности отказаться.
Допустим вы сделаете вид, что не понимаете о чем речь, но я намекну остальным читателям темы - подумайте, что происходит перед тем, как в новостях вы видите "предотвращена попытка ..., задержаны ..., раскрыто формирование ..." и как это заблаговременно раскрывается. Точно не потому, что кого-то принуждают стучать по СНГ, и это точно не один из множества информационных каналов.

 

[chinacash]

Добавлю свои 5 копеек в обсуждение.
Какой смысл вообще в Люмма по работе с СНГ, есть кучу решений в разы дешевле которые работают по CIS странам.
Второй момент, судя по скринам, рассылкой занимались люди явно далекие от атак точечных на компании раз присылали архив с паролем)) кто по корпам работает поймет о чем я, никто в здравом уме не будет такое открывать, там конверсия будет на полном дне. Это вообще делается совсем по другому без всяких кривых вложений. Это говорит о том, что если кто то рассылал такое то делал это явно человек очень далекий от темы с корпами, а по сему у таких людей ну никак не мог оказаться в руках люмма или подобные топ стиллеры.
А возможно что это вообще все утка очередная, и эти гении из недолаборатории касперского просто сделали вот такой вот извиняюсь высер.

 

[cryptobot]

Пару моих копеек по этой инфе, первое письмо по оф. каналам о том что юзают данный стилак получено в начале октября прошлого года, второе в начале декабря и третье под новый год. Даже с рекомендациями, что нужно сделать)) А бьют по организациям где сотрудники уже не молодые и открыть могут все что угодно!

 

[Lumma]

Пару моих копеек по этой инфе, первое письмо по оф. каналам о том что юзают данный стилак получено в начале октября прошлого года, второе в начале декабря и третье под новый год. Даже с рекомендациями, что нужно сделать)) А бьют по организациям где сотрудники уже не молодые и открыть могут все что угодно!
Посмотреть вложение 104418

В билдах по этим датам уже даже внутри были проверки на страны СНГ по локали. Вполне вероятно, что софт рассылают просто неопытные ребята как отмечено выше, и думают, что он отработает на русских машинах, однако с действительностью это не имеет ничего общего.

 

[cryptobot]

В билдах по этим датам уже даже внутри были проверки на страны СНГ по локали. Вполне вероятно, что софт рассылают просто неопытные ребята как отмечено выше, и думают, что он отработает на русских машинах, однако с действительностью это не имеет ничего общего.

я тут не спорю, я просто привожу факты жизни, о чем идет рассылка ИБ в госах

 

[chinacash]

Пару моих копеек по этой инфе, первое письмо по оф. каналам о том что юзают данный стилак получено в начале октября прошлого года, второе в начале декабря и третье под новый год. Даже с рекомендациями, что нужно сделать)) А бьют по организациям где сотрудники уже не молодые и открыть могут все что угодно!
Посмотреть вложение 104418

Это прям во вложении слали ехе под видом пдф или это линк?
Просто интересно что это за гение тогда такие

 

[cryptobot]

Это прям во вложении слали ехе под видом пдф или это линк?
Просто интересно что это за гение тогда такие

На скрине просто цитаты из писем о Lumma Stealer. И другое описание, которое я тут в открытую всем выкладывать не буду.

 

[Quake3]

я запросил образцы у Касперского и у редакции Хакер.

Да пусть скинут, но другое дело, что никто не мешает пропатчить билд и выдавать его за "приватный по СНГ".
В чем проблема, любой реверсер начального уровня сделает такое, там же нет ЦП, подделать можно что угодно.

Смотрел стиллер раньше, могу сейчас глянуть билд с панели/малваре трекеров, но не верю чтобы Лумма работал по СНГ.

А доказательства можно взять какие угодно.

 

[DildoFagins]

В билдах по этим датам уже даже внутри были проверки на страны СНГ по локали

Не только для Lumma, но и в общем для всех (если уже как-то так не делаете, это очевидная вещь, но...): сохраняйте MD5/SHA-* хеши всех своих билдов у себя где-то в базе или хотя бы просто в текстовом файле, с хешом храните минимально необходимую информацию о семпле (когда был собран, какие настройки, кому отдавали и тд). Антивирусные компании в своих отчетах и предъявах обычно публикуют хеши (обычно один из SHA-хешей или MD5) семплов, которые они анализировали. Если такие хеши есть у вас в базе, значит, это - ваш семпл, и по хешу понятно, откуда он, если хеша в базе нет, значит есть вероятность, что кто-то пропатчил один из прошлых семплов. Ну и да, в целом, семплы по хешам можно в интернетах поискать тоже.

ADD: что-то не добавился сразу этот текст, хорошо, что проверил, сорян. В статье есть такая цитата:

Чтобы получить шелл-код, мы решили сохранить дамп расшифрованной и распакованной полезной нагрузки, когда вся работа по ее подготовке уже выполнена вредоносным AU3-скриптом. Удалив ненужные байты из дампа, мы получили оригинальную полезную нагрузку этой атаки. Оказалось, что это не шелл-код, а полноценный исполняемый MZ-PE-файл.

То есть походу дела они снимали эти хеши с дампов, типа удаляя ненужные байты. Зная, откуда руки растут у некоторых сотрудников антивирусных контор, есть некоторая вероятность полагать, что они там выравнивание секций не компенсировали, или может какой-то байтик лишний оставили. А вы же понимаете, какое значение один не тот байтик может оказать на криптографический хеш. Так что, возможно, эти хеши и не являются показательными в данном конкретном случае.

 

[Quake3]

Посмотрел по быстрому свежий билд, идет вызов GetUserDefaultUILanguage , это винапи которая возвращает язык ОС, дальше идет перебор по списку, если совпадает - прога завершается с мессаджбоксом что страна не поддерживается.
Конечно, это все можно обойти примитивным битхаком (т.е. поменяв je на jne ), но - на стороне сервера также есть проверка , + это стиллер, а не крекми.

 

[varwar]

Вчера Lumma предоставил мне доступ в панель, хотя я всего лишь семпл просил. Ну раз такое дело, то я решил запустить бинарь на американской винде, но расположенную в РФ. Предвартельно выключил дефендер, чтобы ничто не мешало. Ничего не отстучало. Читая статью, у меня сложилось впечатление, что семплы просто статикой посмотрели, но не проверяли будет ли он совершать вредоносную активность или нет. Считаю, что господа из ЛК должны этот момент перепроверить и добавить приписку, что группировка Angry Likho олигофрены, которые рассылали малварь, не работающую по СНГ. Так вижу, но могу ошибаться.

 

[HikMbed]

решил запустить бинарь на американской винде, но расположенную в РФ. Предвартельно выключил дефендер, чтобы ничто не мешало. Ничего не отстучало.

Ну по факту то, запускал на русской тачке, через впн. Поэтому такая проверка на гео стран в билде, это фуфло.

 

[varwar]

Ну по факту то, запускал на русской тачке, через впн. Поэтому такая проверка на гео стран в билде, это фуфло.

Я тебя не понял, какой впн и в чем фуфло?

 

[Quake3]

Поэтому такая проверка на гео стран в билде, это фуфло.

Проверка вполне достаточная, язык системы + фильтр на сервере.
Как еще надо? Выводить пользователю сообщение, не родился ли ваш дедушка, упаси господи, в СССР? И если да, самоудаляться?

 

[HikMbed]

Проверка вполне достаточная, язык системы + фильтр на сервере.
Как еще надо? Выводить пользователю сообщение, не родился ли ваш дедушка, упаси господи, в СССР? И если да, самоудаляться?

Ладно ладно, всё логично)

Ладно ладно, всё логично)

+ желательно делать привязку билда к железу.

 

[fastkill]

Для меня было удивлением, что СНГ логи от продукта Lumma все таки есть на рынке). Я достаточно часто закупаюсь на рашмаркете логами. Иногда видел миссклик домены, такое бывает когда у араба светанулся лог пасс в какой нибудь сервис РФ. Как по мне продукт Lummа предельно хорош, но вот вопросики начинают сыпаться. Прилагаю скрин. на рашмаркете каждый может сам убедиться в количестве логов отстуканных с СНГ тачек( платная рега только). Собственно скрин и дата .

Проверка вполне достаточная, язык системы + фильтр на сервере.
Как еще надо? Выводить пользователю сообщение, не родился ли ваш дедушка, упаси господи, в СССР? И если да, самоудаляться?