第一章

概述

近期,启明星辰ADLab在威胁狩猎平台上发现多起伪装成为AI大模型应用程序的网络攻击。通过对这批攻击的长期追踪和分析,我们发现这些看似零散的利用AI大模型热度进行传播的攻击,其实背后隐藏着一个具有高度组织化、自动化和全球化运营特征的黑客组织。在长时间的溯源和追踪后,最终收集到了大量与该黑客攻击活动相关的样本、基础设施以及活动情报数据。基于这些数据的分析,我们发现该黑客组织通过构建了一整套自动化网络攻击系统来实现规模化的C2管理、自动化的基础设施配置、机器人化的社群传播、批量化的恶意软件生成与分发等等功能,其中C2的自动化生成还具备了熵值和语义绕过的机制。

在今年以来,各种以AI作为话题和诱饵的攻击频频出现,我们也在2月份第一时间发现了银狐APT组织利用合法DeepSeek部署软件进行攻击的安全威胁。在持续的几个月中,虽然依然存在许多零散利用AI的在野攻击,但这些攻击并没有持续性。直到我们注意到一系列与GPT相关的恶意载荷的出现如“AI GPT4 TRADING BOT.rar”、“ChatGPT4 Online.rar”、“ChatGPT-Gemini4.rar”和“OpenAI GPT Images.rar”等,尽管这类伪装在今年的投毒样本中早已屡见不鲜,但这些载荷所关联出的黑客行为数据并非我们此前所看到零散攻击那么简单。通过对这批样本进行相似性匹配并结合二进制特征进行聚类分析,我们总共发现了4431个强关联载荷,其中涉及的基础设施有1927个,当然我们收集到的数据并不完整,甚至只是其冰山一角。同时通过其投放源头分析、传播渠道、恶意软件特性我们确信这并不是由黑色产业链(存在大量末端黑客)做的样本生产,而仅仅就是一个黑客组织通过其背后自动化攻击系统批量生成。

在我们发现的4431个原始攻击载荷中,除了利用AI话题进行诱导和扩散外,黑客还生产了大量如“Free NordVPN.rar”、“Adobe Photoshop + Crack.rar”、“Steam Account Checker 2025.rar”和“PornHub Downloader Video.rar”等的攻击样本,这些诱饵文件名称覆盖了从VPN破解、盗版软件、账号检测器到色情内容下载等多种目标场景。该组织有意识地设计出一套多元化诱饵,覆盖更广泛的潜在目标。

在追踪分析过程中同时,我们对恶意载荷进行了多次解密得到恶意载荷的核心负载,并最终确认被投放的恶意软件为当前非常活跃的窃密木马——Lumma Stealer。攻击载荷通过三阶段的payload解密、结合进程注入、花指令、代码混淆以及API动态调用等方式来对抗分析。该木马自2022 年起在地下论坛迅速流行,作为一款“恶意软件即服务”(MaaS)Stealer,其具备模块化架构和强大的数据窃取能力:如窃取浏览器密码与Cookies、加密货币钱包、FTP/VPN/email客户端配置文件等多种敏感数据。同时凭借其轻量化和优秀的免杀特性,该木马被包括“Scattered Spider hacking group”、“Black Basta”、“Storm-1607”和“FatherOfCarders”以及“Moon Cloud”在内的多个著名黑客组织所广泛采用,成为网络犯罪分子的重要攻击武器。此外,在去年的PowerSchool 攻击事件中, Lumma Stealer作为初始入侵阶段的重要入口,导致超过 7,000 万记录泄露,这些犯罪分子使用其参与信用卡欺诈、初始访问权销售、加密货币盗窃等。与此同时,微软、美国司法部和欧洲刑警组织等在今年5月份的联合行动期间,查出至少394,000 台 Windows 电脑受到 Lumma Stealer感染。

在本次追踪分析中,我们通过解密成功还原并关联出一大批恶意域名、恶意URL和更大量的恶意样本,并结合前期收集的数据和黑客相关的情报信息,对基础设施开展溯源与关联分析,进而建立起一套较为完整的攻击基础设施画像。配合开放情报源和平台数据,我们追踪到了其背后的黑客组织在多个社交媒体平台上布设的钓鱼诱导资源、引导链接以及大量与之配套的机器人账号。从分析的结果来看,黑客投入的基础设施不仅规模可观,且具备高度模块化和适应性,显示出成熟的攻击能力与运维能力。结合其持续投放Lumma Stealer等窃密木马的行为可以判断,该组织的核心目标是在全球范围内大规模获取用户敏感数据与数字资产。其攻击并非零散试探,而是一次经过充分准备、明确目标、成体系执行的网络犯罪行动。本文将围绕此次攻击中的诱饵文件传播方式、基础设施搭建、攻击目标特征及典型样本进行深入分析与说明。

第二章

传播路径分析

通过长期的追踪我们收集到了大量的样本及相关数据,然后我们对这些样本和数据进行了系统性关联分析,试图还原出这批攻击的传播路径及传播源头。我们以动态行为日志、URL特征、关键字监控和多平台溯源等手段,准确地找到了攻击源,该黑客组织的主要攻击载荷源头有:即时通讯软件Telegram、文件分享平台MediaFire和4shared以及GitHub仓库、论坛帖子等。

2.1、Telegram频道

在追溯攻击载荷的源头时,我们发现最多来源为即时通讯软件Telegram。在此过程中,我们就在追踪某个名为“ChatGPT4 Online.rar”的恶意压缩包样本时,竟意外揭开了攻击者利用Telegram实现自动化传播的一角。这个伪装成热门AI工具的样本最初出现在一个名为“Private Program Arhive 2025”的私人频道中,该频道的创建时间为2025年6月18日,订阅用户仅267人,如图1所示。

图1 某私人频道

通过对该频道的监控发现,一旦该频道出现新攻击样本,这些样本就会瞬间出现在其他频道上,然后我们将这些频道记录下来。在长时间的追踪和观察之后,我们发现该频道是所有频道的最终样本来源,该频道总共267个订阅者,却没有任何聊天记录和活跃度,不过一旦频道中存在恶意软件分享时,会被这些订阅者快速转发到别的频道上。

因此通过追踪转发的目的频道,我们收集到了一些下游的传播路径,下游频道中大部分是正常活跃的频道(非黑客自建频道),甚至部分频道是极度活跃的比如“SILVER BULLET CONFIGS” 和 “VIP HitMaster™ Program”,这两个频道的人数分别高达6383和51419人,并且长期关注“技术和应用程序”和“加密货币”等话题。这种频道对于黑客来说是一种极佳的传播频道。我们追溯到的其他频道还有:Mother Flame(订阅数:7900,加密货币频道)、BMA (Books)[](订阅数4099,电子书籍频道)、DeVoReCords(订阅数2846,技术和应用程序频道)、Chat GPT 2025(订阅数2738,AI工具频道)和SL CAT EHI FILES ™[] [ 02 ](订阅数2487,技术和应用程序频道)等。当然还有大量下游频道由于某些限制无法加入,有的已经被Telegram封禁。

不过在我们跟踪过程中发现多个完全无关联的频道,在同一时间点同步发布了同一批恶意压缩包。例如,在2025 年3月9日 22:54这个时间点,一批样本被同时转发到 “DeVoReCords” 和 “Mother Flame”频道;又如在2025年6月18日下午02:48这个时间点,一批样本同步出现在 “SILVER BULLET CONFIGS”和“BMA (Books)[]” 等频道中(如图2所示)。这一现象排除了人工操作的可能性,这表明这些恶意样本的原始发布行为由统一的Telegram机器人控制,并通过关注话题批量地植入多个 Telegram 频道中执行投放任务。

图2 恶意程序被其他频道同步转发

我们将部分转发记录和相关的频道列到表1中,从转发时间来看,攻击者至少从去年12月份就开始投放此类恶意软件,在今年3月份、5月份和6月份又分别实施了密集的样本投放,致使这些样本在这段时候进行了大范围传播。

频道名称

订阅人数

转发时间

国家

类别

VIP HitMaster™ Program

51419

/

马来西亚

加密货币

Mother Flame

7900

2025.03.3001:552025.03.26 04:15

2025.03.09 22:542025.03.07 21:39

2024.12.14 00:02

印尼

加密货币

SILVER BULLET CONFIGS

6383

2025.06.1814:48 2025.06.09 21:40

2025.06.09 08:30 2025.06.05 03:35

2025.06.04 03:41 2025.05.23 01:46

2025.05.22 22:58 2025.05.09 00:09

2025.05.05 02:30 2025.05.01 03:49

荷兰

技术和应用程序

BMA ( Books ) []

4099

2025.06.1814:48 2025.06.09 21:40

2025.06.09 08:30 2025.06.05 03:35

2025.06.04 03:41 2025.05.23 01:46

2025.05.22 22:58 2025.05.09 00:09

2025.05.05 02:29 2025.05.01 03:49

伊拉克

书籍

DeVoReCords

2846

2025.05.3001:57 2025.03.26 04:13

2025.03.09 22:542025.03.07 21:39

美国

技术和应用程序

Chat GPT 2025

2738

/

/

AI工具

SL CAT EHI FILES ™ [][ 02 ]

2487

2025.05.01 03:49

斯里兰卡

技术和应用程序

Private Program Arhive 2025

267

2025.06.1814:45

/

/

表1 转发过此类恶意软件的频道

进一步分析发现,这些机器人账号的活动并不局限于这些频道,它们广泛潜伏于AI工具、破解文件分享等全球范围内的多个Telegram频道中,构成了一个自动化、高效率的投放体系。这也解释了为何一些原本订阅量有限、活跃度低的频道仍能在短时间内实现样本的大范围传播。

此外,攻击者不仅创建了初始投放频道,还提前将多个伪装成普通用户或热心分享者的自动化机器人账号潜伏至大量正常频道中。这些机器人具备监听、触发、重投放的自动化能力,能依据关键词或指令实时进行信息同步。其背后应是一套自动化的分发、传播机器人在工作,即黑客启动攻击的指令发出后,自动化机器人自动上传恶意样本,然后自动联动多个机器人账号将同一消息迅速同步至目标频道,实现恶意软件的指数级扩散。

然而,我们还看到攻击者也在不断适应和规避审查,他们通过更换频道名称、建立备用频道、利用转发链条等方式持续传播恶意内容。由于Telegram缺乏高效的文件内容审查机制,攻击者常通过“小频道发布—大频道转发”的方式,实现恶意文件的快速传播和感染量的几何级增长,即使Telegram官方陆续封禁部分传播频道,但在平台匿名性强、传播链条分散的背景下,恶意软件依旧能迅速在其他频道中卷土重来,难以根除。

2.2、文件分享平台

除了Telegram渠道外,我们还在4shared和MediaFire公开文件分享平台上追踪到了这批恶意文件的传播痕迹。

图3 4shared平台和mediafire平台上的恶意程序

其中4shared平台允许用户通过公开链接分享压缩包、可执行文件等资源,且对上传文件的安全性审查较为薄弱。比如另外一个名为“AI GPT4 TRADING BOT.rar”的样本(和Telegram上的样本同名但不是同一批样本)也曾经被上传到4shared平台(如图3所示),并且该文件的链接被分享到一些论坛中,或被嵌入到仿冒网站中,配上诱惑性话题和文字,诱使用户点击下载。

如图4显示,“AI GPT4 TRADING BOT.rar”的上传日期是2025年4月13日,由名为“Ronildo D.”的用户上传,“Shared from SM-A037M”表明该恶意文件是通过三星手机“SM-A037M”分享的。(4shared 的APP在上传时会读取设备的型号信息并将其作为元数据与文件关联,以显示文件的来源设备。“SM-A037M”是三星为其 Galaxy A03 Core 手机分配的特定型号。字母和数字的组合代表了设备系列(A系列)、型号(03)、版本(Core)以及销售区域或网络类型)。这表示上传者很可能是在他的三星手机上安装了 4shared 的APP,然后直接通过该APP从手机的存储中选择了 "AI GPT4 TRADING BOT.rar" 文件并上传分享,当然黑客也可能通过模拟器来操作,不过目前没有明显的证据。

图4 恶意软件的分享信息

图5是4shared平台中,上传者“Ronildo D.”的用户界面。我们可知上传者来自巴西,注册自两年前,该用户目前在4shared平台上拥有7个文件夹,并在该平台分享了120个文件(不过目前这批样本已无法访问)。该账号由于注册得较早,因此可能是黑客通过木马窃取的用户凭证后将恶意程序上传到该账号下,然后在各种社交媒体或者论坛进行传播。因为黑客的传播途径较为广泛,且涉及的样本量异常的多,因此,这很有可能也是黑客攻击行动自动化实施的其中一环。

图5 恶意软件上传者信息

2.3、其他渠道

此外,黑客还利用GitHub 仓库、YouTube 和 Facebook广告等渠道进行恶意软件链接的分发(见图6),进一步印证其传播策略正朝着“多平台、多手段、融合社会工程”的方向演进。通过多传播路径叠加和批量样本的自动分发以实现更为广泛传播。

图6 其他传播方式

第三章

基础设施分析

在此次攻击的分析过程中,我们通过对前期收集到的多个恶意软件样本进行关联,同时利用样本的网络通信特征、外连域名地址、代码指纹等进行扩线和数据收集,得到了大量的样本和域名数据。起初我们关联并锁定了9个恶意C2服务器地址(见表2)。

pomelohgj.top

voznessxyy.life

insidegrah.run

homewappzb.top

clatteqrpq.digital

descenrugb.bet

grizzlqzuk.live

ninepicchf.bet

snakejh.top

表2关联到的恶意C2服务器地址

随后以这9个恶意C2服务器地址为线索,结合恶意代码二进制指纹、通信特征、样本标签等多个维度关联线索,追踪到4431个原始攻击载荷。通过对样本哈希进行去重,最终筛选出共计2918个恶意样本。我们对这2918个恶意样本的生成时间进行了统计(见图7),数据显示这些恶意样本的投放活动主要集中在 今年的1月、2月、4月和5月,在去年12月仅有1个样本,今年6月与7月也仅有零星投放,呈现出明显的阶段性高峰,这说明该系列攻击活动在今年开始到5月的行动后,从6月份开始出现了明显降温。这可能是他们在调整攻击策略,或者攻击被防护手段压制了一阵。

图7 恶意样本生成时间统计

接着,我们以这2918个强关联样本为基础,进一步挖掘其内置或通信过程中暴露的更多恶意C2服务器地址。通过批量解析样本配置和网络通信特征,结合自动化脚本对提取的C2地址进行汇总,剔除重复和无效数据后,最终确认共计771个独立的恶意C2地址,我们这里将部分C2地址列到表3中。

tirepublicerj.shop

tentabatte.lat

lightdeerysua.biz

rockemineu.bond

localixbiw.top

framekgirus.shop

wordyfindy.lat

mixedrecipew.biz

broadecatez.bond

stockyslam.top

abruptyopsn.shop

slipperyloo.lat

affordtempyo.biz

offsetyofcre.bond

narrathfpt.top

cloudewahsj.shop

curverpluch.lat

hoursuhouy.biz

tranuqlekper.bond

citellcagt.top

rabidcowse.shop

shapestickyr.lat

measlyrefusz.biz

moonehobno.bond

cornerdurv.top

wholersorie.shop

observerfry.lat

impolitewearr.biz

reliedevopoi.bond

posseswsnc.top

noisycuttej.shop

manyrestro.lat

pleasedcfrown.biz

quarrelepek.bond

featurlyin.top

nearycrepso.shop

bashfulacid.lat

grandiouseziu.biz

granystearr.bond

threatqjqy.top

表3 部分C2服务器地址

从这些C2域名名称可以明显的看出,其具有自动化生成的特征,这里几乎所有域名是由一两个正常英文单词结合有一定随机的字符串构成,看起来像正常词汇,但实际上是无语义的。以往大量自动化程度较高的黑客组织喜欢采用DGA或者随机域名来实现C2地址批量化生产,但是该黑客采用这种看似不起眼的转变其实目的在绕过当前主流的一些恶意域名检测算法,比如这种生产方法可以大大降低熵值以及提高自然语言的语义性,这种处理在某种程度上可以绕过以静态黑名单技术、熵值判定技术、自然语言语义检测技术为基础的检测系统。

同时,我们还使用自动化脚本对这771个域名的注册者、联系方式、注册机构和注册时间等关键信息进行了追踪和收集,以进行进一步的溯源分析。然而由于这些域名几乎全部启用了隐私保护服务,导致注册人、联系方式、注册机构等字段被隐藏或以匿名信息代替,无法建立域名与攻击者身份之间的关联。此外,我们对这些域名的注册时间进行了统计,结果如图8所示。

图8 恶意C2注册时间统计

从注册时间分布上看,在2021到2024年这段时间,恶意域名的注册数量很少,一个月注册量普遍都在20个之下,像是在摸索阶段,没怎么有大动作,自2025年初开始注册量明显增长,尤其在1月、2月、4月和5月呈现出集中暴涨的趋势,而到了6月则出现了明显回落。这一变化规律与我们前文提取出的2918个恶意样本的生成时间高度重合,二者在时间维度上几乎同步。这一高度一致性表明,攻击者在开展大规模样本投放行动之前,往往会提前批量注册C2域名用于配套使用,这种配套关系,体现出攻击活动背后具备明确的计划性与组织性。整体感觉,黑客是在有计划、有节奏地铺设攻击基础,接下来的几个月,攻击很可能再次爆发,我们将密切关注。

在完成上述C2域名的关联分析之外,我们还进一步对前文筛选出的2918个恶意样本在执行过程中访问的恶意URL进行了统计与归类。为提高准确性,我们对所有访问记录进行了人工筛选与特征分析,剔除了部分关联性较弱、疑似误报或非关键的URL,最终整理出1156个高度可信的恶意地址,表4是其中的部分URL地址。这些URL被用于Lumma Stealer执行的后阶段行动,其格式为“http://ip/files/数字/随机名.exe”,像是攻击者通过自动化脚本动态生成的结果。这些链接大多直连一个硬编码的IP地址,无需解析域名,显然是为了规避DNS层的监测拦截。路径中的数字可能代表任务编号、批次标识,而文件名则多为大小写混合的伪随机字符串,目的是逃避特征匹配和静态规则。下载的内容涵盖EXE、BAT、PS1等多种格式,说明攻击者会根据场景动态投送不同类型的恶意载荷,包括辅助工具、解密模块、自更新或后续信息窃取组件。

恶意URL

http://176.113.115.7/files/1362458159/TZhhGqc.exe

http://176.113.115.7/files/1494968410/cVPsEcV.exe

http://176.113.115.7/files/1494968410/gbz6UL4.exe

http://176.113.115.7/files/1566754488/2KdMigj.exe

http://176.113.115.7/files/1615968338/67e0HNq.exe

http://176.113.115.7/files/1763292343/jrKsxjw.exe

http://176.113.115.7/files/1781548144/6lTXbuX.exe

http://176.113.115.7/files/5149365135/ILqcVeT.exe

http://176.113.115.7/files/5149365135/rXOl0pp.exe

http://176.113.115.7/files/5153162918/Ps7WqSx.exe

http://176.113.115.7/files/5153162918/uW8i508.exe

http://176.113.115.7/files/5153283513/rA6Gys9.exe

http://176.113.115.7/files/5165347769/T3g5uSf.exe

http://176.113.115.7/files/5215106624/82x5hPR.exe

http://176.113.115.7/files/5265591378/bgUvqLl.exe

http://176.113.115.7/files/5419477542/qhjMWht.exe

表4部分恶意URL

从其掌控的大量恶意基础设施来看,包括成规模注册的域名资源、可动态切换的分布式IP 池、部署在多个社交平台的自动化传播脚本、机器人账号及伪装账号,该黑客组织展现出明显的系统化、自动化运营特征。这些基础设施不仅覆盖范围广、部署灵活,还具备较高的复用性与持续运行能力,反映出其在恶意软件运营方面具备较高的技术成熟度与丰富的攻击经验。综合其大规模、持续地投放Lumma Stealer等信息窃取类恶意软件的行为模式判断,该黑客组织攻击目标显然面向全球用户的隐私数据与数字资产,具有明确的经济动机与稳定的行动执行机制,属于典型的有组织网络犯罪活动。从技术来源上推测,该黑客组织很可能依赖自身掌握的一套自动化支撑体系来维持上述基础设施的运转,这种自动化支撑体系降低了攻击门槛,提升了运营效率,也加剧了此类威胁的隐蔽性与顽固性。

第四章

攻击目标分析

我们将该黑客组织在社交网络中发布的多个伪装文件名、伪装软件类型以及行业用途整理在表5中,从伪装文件名来看,黑客主要围绕两个方向投放诱饵:一是热门技术关键词(如 ChatGPT、GPT-4、Gemini、OpenAI GPT),二是破解、灰产工具及盗版资源(如激活工具、账号检查器、VPN、色情下载器、SMTP/IPTV 扫描器等)。表格中的“伪装软件类型”说明了伪装软件的所属类型,而“行业用途 ”一栏则说明了其目标受众的兴趣领域或所处行业。从整体命名策略来看,该黑客组织并未针对特定企业或政府机构等高价值目标实施精确投放,而是通过伪装热门关键词和常见破解工具,在互联网多个渠道引流扩散,试图以最小成本换取最大感染面。

文件名

伪装软件类型

行业用途

ChatGPT 4 online.rar

AI 工具安装包

面向AI 工具爱好者 / 开发者

ChatGPT-4 Online.exe

AI 可执行程序

同上

ChatGPT - Gemini 4.rar

AI 工具/多模型整合

对ChatGPT 和 Gemini 有兴趣的用户

AI GPT4 TRADING BOT.rar

自动交易工具

面向数字货币/ 金融投机者

OpenAI GPT Images.rar

AI 生成图片包

AI 绘图 / 创作者

Fake ID Cards.rar

非法文件资源

网络诈骗/ 骗证件人群

Free NordVPN.rar

破解VPN 工具

想匿名浏览的用户

Free ExpressVPN.rar

同上

同上

Netflix Mail Account Checker 2025.rar

邮箱撞库工具

黑产/ 卡商 / 账号收割者

PornHub Downloader Video.rar

成人内容下载器

成人内容消费者

SMTP Cracker 2025 version.rar

邮件爆破工具

针对垃圾邮件营销/ 黑客操作人员

Steam Account Checker by Risky 2025.rar

游戏平台账号工具

卡商、盗号者、游戏黑产

TradingView Online Unlimited.rar

金融图表破解版

面向股票/ 加密交易者

AIO Multi Checker v 9.10.rar

多平台检测器

黑产账号验证者

BLTools Logs Checker 3.2 PRO.rar

日志分析/ 转卖工具

黑产使用

GIFT CARD GENERATOR 25 MODULES.rar

礼品卡生成器

诈骗/ 欺诈意图群体

Netflix Account Checker.rar

账号暴力工具

撞库者/ 黑产使用

Steam Account Checker.rar

同上

同上

Universal IPTV Scan v3.0.rar

网络电视资源工具

破解电视用户/ 卡商

Windows 10 Activatior.rar

系统激活工具

想绕过付费Windows 的普通用户

Adobe Photoshop + CDkey.rar

破解软件

设计师/ 内容创作者

PhotoShop_V26Fullversion.zip

图像软件

同上

Bitdefender Antivirus + CDkey.rar

杀毒软件破解

想省钱的普通用户

Avira Antivirus 2025 + CDkey.rar

同上

同上

Microsoft Office 2025 + CDkey.rar

办公软件破解

白领

Windows Activator 2025.rar

系统激活工具

同上

Adobe Photoshop + Crack.rar

图像处理软件破解

同上

IPTV scanner +Playlist Scanner & Checker 2025.rar

IPTV 扫描工具

破解/盗播 IPTV 用户

netstat.exe

系统工具

模拟合法系统工具,引诱点击

IDM_6.4x_Crack_v19.9.exe

下载器破解

想获取IDM破解的普通用户

表5伪装的恶意文件名及类型

由表5不难看出,此次攻击更倾向于广泛针对有特定下载需求的普通用户,尤其是活跃于破解资源、灰产工具和技术论坛等非正规渠道的群体。例如,使用“ChatGPT4Online”、“AI GPT4 TRADING BOT”、“Gemini 4”等命名,意图吸引希望体验前沿AI工具但缺乏技术门槛或付费意愿的用户;而“Free VPN”、“Netflix/Steam Account Checker”、“GIFT CARD GENERATOR”等则直指存在盗版使用、账号批量获取等行为倾向的灰色用户群体。此外,带有“Crack”、“CDkey”、“Activator”等字样的文件,则进一步暴露了攻击者将潜在受害者锁定在寻求破解激活、非法绕过付费机制的群体之中。此次黑客恶意文件的投放策略虽不复杂,却因贴近攻击目标需求、伪装性强,具备较高的迷惑性与传播效率。

第五章

典型样本分析

如图9所示,黑客的攻击流程是这样的:黑客会将恶意程序命名为“AI GPT4 TRADING BOT.rar”等极具诱惑性的名字,然后在各大社交平台或者论坛扩散,普通用户通过搜索引擎或社交平台误入相关链接并下载执行。恶意程序通过多阶段层层解密payload和进程注入执行,最终向普通用户设备上投放Lumma Stealer木马。Lumma Stealer木马运行后,会窃取感染设备上浏览器保存的密码、Cookies、加密货币钱包、FTP/VPN/email客户端配置文件等敏感信息,并通过C2服务器实时上传窃取的数据。以下我们将对Lumma Stealer一次典型的攻击进行深入的技术分析,包括相关恶意程序的加载流程、关键函数和控制命令等。

图9 攻击流程图

5.1、第一阶段分析

在对原始恶意样本的分析过程中,我们发现其采用了恶意软件经常使用的一种方法“手动映射进程注入法”将恶意PE文件写入合法进程MSBuild.exe 并执行。手动映射注入法不依赖操作系统的标准加载器,而是由恶意代码自行完成PE加载、内存写入和执行流重定向,这种方法会绕过常规加载机制,实现对恶意PE文件的隐蔽执行,这样做可以隐藏执行路径,并在一定程度上绕过安全产品的行为检测。

首先,恶意样本通过CreateProcessA 创建一个挂起状态(dwCreationFlags等于4)的 “C:\\\\\\\\Windows\\\\\\\\Microsoft.NET\\\\\\\\Framework\\\\\\\\v4.0.30319\\\\\\\\MSBuild.exe”进程(如图10所示),这样可以避免目标进程立即执行原有代码,便于后续操控。

图10 创建挂起的MSBuild.exe进程

接着,其调用Wow64GetThreadContext获取主线程的寄存器上下文(见图11),主要是为了获取指令入口地址和栈指针,为注入后的跳转做准备。

图11 获取主线程的寄存器上下文

随后,其使用VirtualAllocEx 在目标进程MSBuild.exe中申请一块内存空间,用于放置恶意的PE文件。如图12所示,申请内存的起始地址为0x00400000,申请的内存大小为0x00165000,第四个参数flAllocationType为0x3000,代表内存分配的类型为“MEM_COMMIT | MEM_RESERVE”,最后一个参数flProtect为0x40,代表内存保护属性为“RWE”。

图12申请内存空间

通过多次调用WriteProcessMemory,其将恶意PE的各个Section逐段写入到MSBuild.exe进程的这块内存中,模拟出一个完整的映像结构(图13是写入恶意文件PE头的操作部分)。

图13 写入恶意文件PE头

如图14所示,在内存构造完成后,样本调用Wow64SetThreadContext将目标线程的入口地址修改为注入PE的起始地址,即实现了代码劫持。最后,通过ResumeThread恢复被挂起的线程,使其从设置的新入口开始执行,从而实现对恶意代码的隐蔽执行。

图14设置线程上下文信息并恢复线程执行

这种注入方式整体操作较为底层,但执行链路短、控制力强,无需落地文件就完成了内存攻击,这使得检测难度显著增加。

5.2、第二阶段分析

在第一阶段,原始恶意样本新建合法进程MSBuild.exe并向其中注入恶意PE文件并执行,其恶意PE文件执行后会调用CreateFileW向感染主机“C:\\\\Users\\\\[username]\\\\AppData\\\\Roaming”目录释放两个恶意程序,恶意程序名称由总长度等于10的字母和数字随机组成,如图15所示。

图15写入恶意文件

释放完恶意程序后,恶意PE文件再调用ShellExecuteA执行这两个恶意程序,如图16所示。使用这种执行方式,更贴近正常用户操作,不易触发某些AV/EDR的特征规则,常被恶意软件用于绕过部分行为检测。

图16 执行恶意程序

图17即是上述操作释放并执行的两个恶意文件。“HauP0PNxwr.exe”大小为11,264bytes,负责杀毒软件检测,“KZbu03ZssI.exe” 大小为1,239,080bytes,用于实施后续的恶意行为。

图17释放的恶意文件

5.3、第三阶段分析

KZbu03ZssI.exe执行后,会使用和第一阶段同样的“手动映射进程注入法”,创建合法进程“C:\\\\\\\\Windows\\\\\\\\Microsoft.NET\\\\\\\\Framework\\\\\\\\v4.0.30319\\\\\\\\MSBuild.exe”,并向进程MSBuild.exe内存中注入Lumma Stealer恶意软件执行,这里仅列出KZbu03ZssI.exe向MSBuild.exe进程写入Lumma Stealer的PE头以作说明(见图18)。

图18向MSBuild.exe注入Lumma Stealer

5.4、Lumma Stealer分析

如前所述,经过前面一系列的操作,最初的恶意程序最后向受害者设备投放了窃密工具Lumma Stealer,其自2022 年8月起就以“恶意软件即服务”(MaaS)模式在地下论坛被广泛推广,图19是某黑客论坛上Lumma Stealer的广告,图20是Lumma Stealer不同套餐包含的功能介绍。其具备强大的信息收集与数据外传能力,其主要特性包括窃取浏览器保存的密码与Cookies、加密货币钱包信息、FTP/VPN/email客户端配置文件等多种敏感数据和支持插件化功能扩展。Lumma Stealer以其轻量化、高兼容性和绕过检测能力强等特点,在地下市场广泛流通,被“Scattered Spider hacking group”、“Black Basta”等多个攻击组织用于定向信息窃取与初始入侵阶段。

图19黑客论坛上Lumma Stealer的广告

图20不同套餐的功能介绍

我们从内存中dump出了此次投放的Lumma Stealer,然后对其进行了逆向分析,图21是此次分发的Lumma Stealer典型入口函数。

图21 Lumma Stealer 入口函数

Lumma Stealer使用了大量的花指令和代码混淆以干扰分析工具和安全分析人员,如图22所示。此外,其还使用了动态DLL加载和动态API调用等方式来对抗安全分析。

图22 花指令操作

我们首先对Lumma Stealer内置的C2服务器地址进行了解密提取,如图23所示。Lumma Stealer从发布到版本6,其内置C2配置格式经历了多次演变,从XOR+Base64到 Chacha20+硬编码 再到现在的Chacha20+分离密钥块,可以预见,内置C2服务器地址的加密手法还会继续升级。

图23 内置的C2地址

随后我们对该Lumma Stealer进行了动态调试,我们动态调试过程中发现,“Lumma Stealer”一次只会选中一个C2服务器进行交互,其首先会检测选中的C2服务器是否处于活动状态,如果不处于活动状态,则选择下一个C2服务器,如果处于活动状态,则发送后续命令。图24是“Lumma Stealer”调用WinHttpSendRequest向C2服务器发送RECEIVE_MESSAGE命令请求数据的截图。

图24 向C2请求数据

“Lumma Stealer”发送的每个命令都包含一个或多个参数,这些参数作为POST表单数据被发送至目标C2服务器,这些参数和其含义见表6,表7则是Lumma Stealer一些最常见的命令及其搭配的相关参数说明。

参数

含义

备注

act

向C2发送的命令

此参数在version 6 中被去除

ver

版本号

这个值总是4.0,并且自Lumma Stealer第一个版本以来从未改变过

lid

用于识别Lumma client

version5和之前

uid

同上

version6

j

可选参数,用于识别附加功能

version5和之前

cid

同上

version6

hwid

感染设备唯一标识符

/

pid

用于标识被盗数据的来源

在SEND_MESSAGE命令中使用

表6 参数和其含义

命令

作用

命令及其相关参数

备注

PING / LIFE

检查C2 是否处于激活状态

act=life

在version6中被去除

RECEIVE_MESSAGE

用于下载Lumma Stealer的配置文件,该文件包含了目标列表的相关信息

act=recive_message&ver=4.0&lid=[]&j=[]

version3和之前

act=receive_message&ver=4.0&lid=[]&j=[]

version4和version5

uid=&cid=[]

act在version6中被移除

SEND_MESSAGE

用于分块传送被盗数据

act=send_message, hwid, pid, lid/uid, and j/cid

act在version6中被移除

GET_MESSAGE

用于下载第二个配置文件,该配置文件包含了有关插件以及要安装在目标系统上的其他恶意软件的信息,目前发现安Lumma Stealer会安装新版本剪贴板窃取插件和挖币软件

act=get_message&ver=4.0&lid=[]&j=[]&hwid=

version 5和之前,

uid=&cid=[]&hwid=

act在version6中被移除

表7 常见的命令及其相关参数

RECEIVE_MESSAGE命令发送给C2服务器后,返回的payload解密后为一个json结构,包含了详细的数据收集指令,提供了完整的浏览器扩展列表和感兴趣的网站列表。该结构分为三个主要部分:ex、mx 和 c。

ex:此列表列出了众多的浏览器扩展程序,主要是加密货币钱包(比如MetaMask, Ronin Wallet, Trust Wallet, Coinbase)、密码管理器(比如1Password ,LastPass)以及认证工具(比如Authy, EOS Authenticator, GAuth)。每一条记录都包含一个唯一的标识符(Chrome 扩展程序ID)和一个易于阅读的名称。

mx:此字段为指定的扩展程序提供了特定的指令,比如MetaMask 的记录中包含了一个“et”参数,该参数带有密码推导设置(迭代次数=600000),其可用于暴力破解攻击或在离线状态下验证密码保护的库,此部分可针对需要特殊处理的高价值目标进行个性化设置。

c:这是该结构中最实用的部分,以下是每个对象的含义:

t - 窃取类型,表示文件获取的类型,比如文件或注册表

p - 窃取目标路径,通常是%appdata% 或 %localappdata% 路径

m - 匹配模式,筛选特定文件(比如keystore, *.sqlite)

z - 窃取的文件在攻击方一侧要保存的文件夹(比如Wallets/Ethereum)

d - 窃取目录的深度

fs - 最大文件大小(比如说20MB)

这些规则明确表明了Lumma Stealer从加密货币钱包、浏览器会话、FTP/VPN/email客户端配置文件、密码管理器和通用用户配置文件中窃取敏感信息的意图,图25是一个精简的该结构的例子。

图25 RECEIVE_MESSAGE命令返回的payload解密后的结构示意图

GET_MESSAGE命令的响应则简单很多,如图26,它包含一个指向远程服务器上托管的PE可执行文件(如netstat.exe)的 URL,u表示下载地址;ft指文件类型(0表示exe,1表示dll,2脚本或其他);e指文件是否静默执行(0表示正常执行,1表示隐藏执行)。这表明该Lumma Stealer可以通过此渠道接收后续阶段的指令,可用于更新自身、分发恶意代码或激活特定模块。

图26 GET_MESSAGE命令返回的payload解密后的结构示意图

Lumma Stealer从最初发布到如今的版本6,功能不断迭代,其能够窃取大量敏感数据,包括多个主流浏览器(如Chrome、Edge、Firefox、Opera等)保存的账号、密码、Cookies、自动填表信息、历史记录等;其还会窃取加密货币钱包如Binance、Electrum 和以太坊等钱包;其同样会窃取感染设备FTP客户端、邮件客户端(如Outlook、Thunderbird)和即时通讯软件的登录凭证以及特定路径文件并支持插件化功能扩展。

Lumma Stealer 的核心是恶意软件即服务(MaaS)生态系统的典范:网络犯罪分子只需支付订阅费(起价为 250 美元/月),即可获得更新的恶意软件版本、仪表板访问、技术支持和自定义功能,攻击者只需要通过网络仪表板就可以访问被窃取的数据,整个攻击流程实现了“即插即用”,即使毫无技术基础的操作者也能轻松上手。这种低门槛、高效率的攻击工具,无疑会给企业与个人带来显著威胁。

第六章

总结

本次事件揭示了一个高度组织化、自动化并具备全球投放能力的黑客团体。他们不仅控制着大量恶意域名与IP资源,还在Telegram等社交平台上部署了庞大的自动转发机器人网络。这些机器人潜伏于多个热门频道中,一旦接收到指令,便会将伪装成热门软件的恶意文件迅速推送给成千上万名用户,覆盖范围跨越多个国家与地区。攻击者的目标人群不仅限于AI兴趣群体,几乎所有使用Telegram、对免费资源感兴趣的普通用户都有可能成为受害者。其核心意图是获取全球范围内的敏感信息、数字资产,甚至远程控制权限,充分体现出该组织在投放手段与持续运营方面的高度成熟与隐蔽性。

面对这类有组织、高效率的大规模网络攻击,普通用户不应再抱有“事不关己”的侥幸心理。如今,恶意软件的传播门槛已大幅降低,无需钓鱼邮件或漏洞利用,仅凭社交平台的无监管环境与诱导性标题,就足以使恶意文件迅速扩散并造成严重影响。应对此类攻击,既需要平台加强内容审核和封禁机制,也离不开安全社区、研究人员与终端用户之间的协作与联防。为防止感染此类伪装成热门AI工具或破解软件的恶意程序,建议用户始终保持高度警惕,避免从非官方渠道下载压缩包或可执行文件。所有软件应通过其官方网站获取,避免安装额外程序。在打开任何下载文件前,应使用杀毒软件或在线扫描服务进行安全检查,并确保操作系统及安全产品及时更新。如不慎运行了可疑程序,应第一时间断网,并尽快寻求专业技术支持,以防止信息泄露或设备被远程控制。

参考:

https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/

https://www.certego.net/blog/lummastealer/

https://www.trendmicro.com/en_us/research/25/g/lumma-stealer-returns.html

声明:本文来自ADLab,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。