概要:Luma Infostealerの脅威
「Luma Infostealer」は、サービスとしてのマルウェア(MaaS)として登場し、ウェブブラウザのCookie、仮想通貨ウォレット、VPN/RDPアカウント情報といった高価値の認証情報を標的とする強力な脅威となっています。このマルウェアは、単なる情報窃取に留まらず、ランサムウェアの展開、アカウントの乗っ取り、内部ネットワークへの侵入といった複雑なサイバー攻撃の初期段階で利用されています。盗まれたデータは、個人情報盗難、金融詐欺、企業への不正侵入の温床となり、その被害は甚大です。効果的な防御のためには、挙動ベースの検出と脅威インテリジェンスの統合を備えたエンドポイント検出・対応(EDR)システムの強化が不可欠です。
進化する情報窃取マルウェアの生態系
近年、情報窃取マルウェアは、個人および組織にとって主要な高リスクベクトルへと進化を遂げています。これらの脅威は、被害者のエンドポイント上で密かに活動し、ユーザーに気づかれることなく機密情報を収集します。一度取得された盗難データは、ダークウェブのマーケットプレイスで取引され、その後の個人情報盗難や金融詐欺といった悪意ある活動の基盤となります。組織的なサイバー犯罪グループは、情報窃取マルウェアを単独の脅威としてだけでなく、ランサムウェアやアカウント乗っ取りなどの高度な攻撃の足がかりとして展開しており、堅牢な検出メカニズムの緊急性が高まっています。
MaaSモデルとしてのLuma Infostealer
Luma Infostealerは、MaaSモデルの典型例です。このモデルでは、攻撃者は完全に管理されたマルウェアプラットフォームをレンタルまたは購読することができます。Lumaは、ダークウェブチャネルを通じて容易に入手可能であり、ペイロードやコマンド&コントロール(C2)接続方法のモジュール式カスタマイズを提供します。MaaSプロバイダーは開発、インフラ、アップデートを維持するため、技術的なスキルレベルに関わらず、ユーザーはキャンペーンを実行し、盗まれたデータを転売することが可能です。このモデルは、サイバー犯罪への参入障壁を下げ、アフィリエイトネットワークを通じて攻撃規模を拡大し、複数のアクターによって同一のマルウェアが展開されるため、帰属の特定を困難にします。
巧妙な配布と感染経路
2022年8月の登場以来、LumaはNullsoft Scriptable Install System (NSIS) を使用してパッケージ化され、クラックされたソフトウェアを装ったフィッシングサイトを通じて配布されてきました。Genian Security Centerによる分析では、多段階の感染チェーンが明らかになっています。NSISインストーラーは断片化されたAutoItモジュールをドロップし、メモリ内で難読化されたシェルコードを再構築します。そして、正規のプロセスを装って情報窃取マルウェアを実行するためにプロセスホローイングという手法を用います。頻繁なアップデートと可変的な配布URLは、従来のシグネチャベースの検出を回避する要因となっています。
攻撃の詳細とデータ窃取
攻撃者は、被害者をリダイレクトサイトからMEGAのようなクラウドストレージプラットフォームへ誘導し、正規のサービスを悪用してIPおよびドメインフィルターを回避します。ダウンロードされたNSISパッケージには、パスワード保護されたZIPファイルが含まれており、これが「setup.exe」を解凍します。「Contribute.docx」というファイルには、ダミーコードと難読化されたコマンドが含まれています。このインストーラーの実行は、ファイルドロップ、tasklistやfindstrを用いたセキュリティプロセスチェック、CABファイルの抽出、AutoItペイロードの再結合、そして悪意のあるスクリプトの実行といった一連のスクリプト化されたステップを引き起こします。最終的にLumaは、埋め込まれたC2ドメイン(例:rhussois[.]su, diadtuky[.]su)を復号し、ブラウザの認証情報、Telegramデータ、仮想通貨の鍵、リモートアクセス認証情報を外部に送信します。
対策と防御戦略
Lumaの難読化やプロセスインジェクション技術に対しては、従来のアンチウイルスソリューションでは検出が困難です。対照的に、最新のEDRプラットフォームは、メモリ内シェルコード実行、異常なプロセスホローイングイベント、未知のC2ドメインへの繰り返しリダイレクトなど、疑わしい挙動の特定に優れています。リアルタイムの脅威インテリジェンスを統合することで、セキュリティチームは新たな指標を関連付け、検出ルールを迅速に適応させることができます。さらに、組織はすべての重要なアカウントで多要素認証(MFA)を強制し、ブラウザでの認証情報保存を推奨せず、ラテラルムーブメントやデータ流出を示すネットワーク異常を監視する必要があります。
まとめ
Luma Infostealerは、MaaSが高度な攻撃能力を民主化し、高価値の認証情報を危険にさらし、ランサムウェアやネットワーク侵入を含む大規模な攻撃チェーンを促進することを示しています。これらの脅威に対抗するためには、組織は挙動ベースの検出が可能なEDRソリューションを導入し、脅威インテリジェンスフィードを活用し、厳格な認証および監視ポリシーを実装する必要があります。異常なエンドポイントの挙動の検出に焦点を当て、防御戦略を継続的に更新することで、セキュリティチームはLumaによる攻撃を阻止し、機密資産を悪用から保護することができます。