LummaC2は、多くの環境で被害を出していたインフォスティーラー型マルウェアです。
これまでも何度も大きく話題になってきていました。
そんなLummaC2ですが、先日、テイクダウンされました。
- MaaSだったLummaC2
LummaC2は、250ドルから1,000ドルのサブスクリプション形式でMalware as a Serviceとして展開されていました。
通常の利用者としての提供形式の他に、ソースコードを開示する内容のプランも提供していました。
これにより、単にツールを使って稼ぎたい脅威アクターだけでなく、自身でマルウェアを作りたい脅威アクターや改造してより巧妙なものを作りたい脅威アクターにも魅力のあるものとなっていました。 - 柔軟性のある配布インフラ
LummaC2は、ClickFixをはじめとした多くの配布手段で拡散されていました。
提供されていた期間が長いことも影響しているのでしょう。
攻撃者は、悪意のあるドメインをローテーションさせ、広告ネットワークを悪用し、正規のクラウドサービスを活用して検出を回避し、運用の継続性を維持することで、継続的に技術を改良しています。
さらに、実際のC2サーバを隠すため、すべてのC2サーバはCloudflareプロキシの背後に隠されています。
こういった特徴のため、多くの被害者を出している状況でした。
しかし、先日、世界中の法執行機関と民間企業の連合によって実行された大規模な作戦によって、LummaC2のインフラが大規模に停止に追い込まれました。
法執行機関をはじめとした多くの組織の連携で、LummaC2のC2バックボーンとして機能していた2,300 のドメインが押収されたのでした。
この活動によって、Lumma Stealerの管理者と、マルウェアを展開するために金銭を支払う顧客用のログインパネルとして機能する5つのドメインに影響を及ぼしました。
さまざまな見解がありますが、累計すると1000万件以上の感染を引き起こしていたとみられるマルウェアのインフラを停止に追い込むことができたのです。
今回の作戦ではインフラが押収されました。
しかし、LummaC2の提供側として関わっていた脅威アクターの多くが今も活動可能な状態にあることが考えられます。
さらに、LummaC2の上位のサービスでそのソースコードを入手し、独自のマルウェアを作成中である脅威アクターも少なくないことでしょう。
大きな脅威のインフラが停止されたことは良いニュースです。
しかしこれで安心するということではなく、安全対策は今後も継続していくことが必要ですね。
Justice Department Seizes Domains Behind Major Information-Stealing Malware Operation
https://www.justice.gov/opa/pr/justice-department-seizes-domains-behind-major-information-stealing-malware-operation
| この記事をシェア |
|
|---|
