Siber güvenlik şirketi ESET, son iki yılın en yaygın bilgi hırsızlarından biri olan Lumma Stealer’ı engellemek için global olarak koordine edilen bir operasyonda yer aldı. Microsoft tarafından yönetilen operasyon, geçtiğimiz yıldan bilinen tüm C&C sunucuları da dahil olmak üzere Lumma Stealer altyapısını gaye aldı ve botnet’i büyük ölçüde çalışamaz hâle getirdi. ESET, Lumma Stealer geliştiricileri ziyanlı yazılımı faal olarak geliştirip sürdürdükleri için hem teknik tahlil hem de istatistiksel bilgiler sağladı ve on binlerce örnekten temel dataları çıkardı.
ESET, Microsoft, BitSight, Lumen, Cloudflare, CleanDNS ve GMO Registry ile iş birliği yaparak makûs şöhretli bir hizmet olarak makus emelli yazılım bilgi hırsızı olan Lumma Stealer’a karşı global bir kesinti operasyonu gerçekleştirdi. Operasyon Lumma Stealer altyapısını, bilhassa de geçtiğimiz yılın bilinen tüm C&C sunucularını maksat alarak botnet’i büyük ölçüde çalışamaz hâle getirdi.
Lumma Stealer’ı izleyen ve araştıran ESET araştırmacısı Jakub Tomanek yaptığı açıklamada şunları söyledi: “ESET otomatik sistemleri on binlerce Lumma Stealer örneğini işleyerek C&C sunucuları ve iştirak tanımlayıcıları üzere temel ögeleri çıkarmak için bunları inceledi. Bu sayede Lumma Stealer’ın faaliyetlerini daima olarak izleyebildik, iştirakleri kümeleyebildik, geliştirme güncellemelerini takip edebildik ve daha fazlasını yapabildik. Lumma Stealer üzere Infostealer ziyanlı yazılım aileleri, ekseriyetle gelecekteki çok daha yıkıcı atakların habercisidir. Toplanan kimlik bilgileri, siber kabahat yeraltı dünyasında bedelli bir metadır ve birinci erişim aracıları tarafından fidye yazılımı iştirakleri de dahil olmak üzere çeşitli öteki siber hatalılara satılır. Lumma Stealer son iki yıldır en yaygın bilgi hırsızlarından biri oldu ve dünyanın dokunulmadık hiçbir yerini bırakmadı. Bu global kesinti operasyonu, Lumma Stealer’ı uzun vadeli takibimiz sayesinde mümkün oldu. Microsoft’un öncülük ettiği kesinti operasyonu, bilinen tüm Lumma Stealer C&C alan isimlerini ele geçirerek Lumma Stealer’ın bilgi sızdırma altyapısını fonksiyonsuz hâle getirmeyi amaçladı. Fakat ESET, bu kesinti operasyonunun akabinde Lumma Stealer faaliyetlerini yakından izlerken öteki bilgi hırsızlarını da takip etmeye devam edecek.”
Düzenli olarak geliştiriliyor
Lumma Stealer geliştiricileri, makus hedefli yazılımı etkin olarak geliştiriyor ve bakımını yapıyordu. ESET, küçük yanılgı düzeltmelerinden dize şifrelemesinin büsbütün değiştirilmesine ve ağ protokolü güncellemelerine kadar değişen kod güncellemelerini sistemli olarak tespit etti. Botnet operatörleri ayrıyeten paylaşılan ağ altyapısını da etkin olarak sürdürdü. ESET, 17 Haziran 2024 ile 1 Mayıs 2025 tarihleri ortasında, Telegram tabanlı meyyit nokta çözümleyicilerine yönelik orta sıra yapılan güncellemeleri de dahil olmak üzere, her hafta yaklaşık ortalama 74 yeni alanın ortaya çıktığı toplam 3.353 eşsiz C&C alanını gözlemledi. Devam eden bu evrim, Lumma Stealer’ın oluşturduğu değerli tehdidin altını çiziyor ve kesinti uğraşlarının kıymetini vurguluyor.
Abonelik yordamı çalışan berbat gayeli yazılım
Lumma Stealer, berbat hedefli yazılım kavramını bir hizmet olarak benimsiyor ve iştirakçiler, en son makûs maksatlı yazılım yapılarını ve bilgi sızıntısı için gerekli ağ altyapısını almak için katmanlarına nazaran aylık bir fiyat ödüyorlar. Katmanlı abonelik modeli, her biri giderek daha sofistike özelliklere sahip olan aylık 250 ila 1000 dolar ortasında değişen fiyat aralıklarına sahiptir. Lumma Stealer’ın operatörleri ayrıyeten çalınan dataları ortacılar olmadan satmak için bir derecelendirme sistemi ile bağlı kuruluşlar için bir Telegram pazarı oluşturdu. Yaygın dağıtım yolları ortasında kimlik avı, kırılmış yazılım ve öteki makus maksatlı yazılım indiricileri yer alıyor. Lumma Stealer, tahlili olabildiğince karmaşık hâle getiren az sayıda lakin tesirli bir anti-emülasyon tekniği kullanmaktadır. Bu teknikler tespitten kaçmak ve güvenlik analistlerinin uğraşlarını engellemek için tasarlanmıştır.
Microsoft’un Dijital Kabahatler Ünitesi, Amerika Birleşik Devletleri Georgia Kuzey Bölgesi Bölge Mahkemesi tarafından verilen bir mahkeme kararıyla Lumma Stealer’ın altyapısının bel kemiğini oluşturan makûs maksatlı alan isimlerinin kaldırılmasını, askıya alınmasını, el konulmasını ve engellenmesini kolaylaştırdı. ABD Adalet Bakanlığı eş zamanlı olarak Lumma Stealer denetim paneline de el koyarak Lumma Stealer pazarını ve hasebiyle Lumma Stealer makus gayeli yazılımının alıcılarını gaye aldı. Bu süreç Europol’ün Avrupa Siber Hata Merkezi (EC3) ve Japonya’nın Siber Hata Denetim Merkezi (JC3) ile koordine edilerek lokal Lumma Stealer altyapısının askıya alınması sağladı.
Kaynak: (BYZHA) Beyaz Haber Ajansı
0 Comments