舞台裏:Lummaアフィリエイトの運営方法
Executive Summary
Insikt Groupは、相互接続された広大な情報窃取エコシステム内で活動する複数のLumma関連会社の世界初の分析を提供します。Lumma インフォスティーラーは 2022 年から存在しており、そのエコシステムは、プロキシ ネットワーク、仮想プライベート ネットワーク (VPN)、マルチアカウント管理用に調整された検出防止ブラウザ、エクスプロイトおよび暗号化サービス、および 検知 ステルス性と継続性を確保するように設計された回避ツール。 調査により、これまで文書化されていなかったツールが明らかになり、Lumma の関連会社が複数のスキームを同時に頻繁に運営していることが明らかになりました。たとえば、ある関連会社はレンタル詐欺を運営していることが特定され、他の関連会社は Vidar、Stealc、Meduza Stealer などの複数の MaaS (マルウェア アズ ア サービス) プラットフォームを同時に利用しており、運用の俊敏性を強化し、成功率を向上させ、検知や法執行機関の削除に関連するリスクを緩和する可能性が高い。 さらに、いくつかの Lumma 関連会社は、アンダーグラウンド フォーラム全体で明確な脅威アクターのペルソナに結びついており、より広範なサイバー犯罪エコシステム内での深い インテグレーション。
短期的には、防御者は、流出イベントを監視し、導入 検知 現在と過去の両方の感染を明らかにするための YARA、Sigma、Snort ルール、Web サイトからのダウンロードを制限し、許可リストを使用する可能性があります。 組織は、違法なダウンロード、マルバタイジングに関連するリダイレクト、ClickFix 攻撃などのますます一般的になっている手法の兆候を認識できるように従業員をトレーニングする必要があります。さらに、防御者は監視する必要があります ダークウェブ およびアンダーグラウンド フォーラムで漏洩した 認証情報 マルウェアのログ。 長期的には、防御者はサイバー犯罪エコシステムを継続的に観察して、新たな脅威を予測し、それに応じてセキュリティポリシーと慣行を適応させる必要があります。
今後を見据えて、Insikt Groupは、MaaS Lummaとそのアフィリエイトネットワークが、その技術的洗練さ、新しい技術の迅速な採用、および法執行機関による大規模な撤去から数日以内にインフラストラクチャを再確立する能力によって証明されている回復力により、サイバー犯罪エコシステムのフロントランナーであり続けてきたと予想しています。このような運営が Lumma の MaaS アフィリエイト ネットワークに与える長期的な影響は依然として不確実ですが、アフィリエイトがプラットフォームを放棄したり、実行可能な代替手段が出現したりする兆候はありません。最終的に、Lumma とその関連会社は、現代のサイバー犯罪活動が分散型ネットワークとしてどのように機能するかを例示しており、効果的な混乱であっても短期的な挫折しかもたらされないことがよくあります。持続的な緩和を達成するには、法執行機関の継続的な圧力と、進化する行動を監視し、対抗するための集中的な諜報活動が必要です 手口、戦術 個々の関連会社の。
主な調査結果
- Insikt Group 、アンダーグラウンドフォーラムで出回っているクラックされた電子メール認証情報検証ツールや、複数のフォーラムで活動する別の攻撃者に関連付けられたフィッシングページジェネレーターなど、Lummaの関連会社が使用したこれまで報告されていなかったツールを発見しました。
- Lumma の関連会社は複数の詐欺を並行して実行しており、盗んだログをレンタル詐欺に使用するなど、Lumma の使用によって可能になったものもあります。さらに、Vidar、Stealc、Meduza Stealer など、複数の関連会社が複数のインフォスティーラーを同時に使用して、成功率を最大化し、(リスクを)軽減する、緩和する 検知や法執行機関の行動による混乱を図ったようです。
- Lumma の関連会社は、重要な運営ハブとして、地下および専門のカーディング フォーラムに大きく依存しています。彼らはこれらのプラットフォームを活用して協力者を募集し、暗号化サービスやプライバシー強化サービスなどの重要なリソースを取得し、組み込みの闇市場、詐欺ツール、コミュニティが支援するサポート ネットワークを通じて、盗んだ認証情報、財務データ、情報窃取ログを効率的に収益化します。
背景
LummaC2 とも呼ばれる Lumma は、Recorded Future の悪意のあるインフラストラクチャ分析に基づいて、2024 年に最も広範囲に及ぶ情報窃取者 であり 、2025 年 5 月に法執行機関の措置に直面しているにもかかわらず、個人、組織、政府から積極的にデータを盗み出すなど、重大な脅威をもたらし続けています。Lumma のようなインフォスティーラーは現在、サイバーセキュリティの状況においてよく知られた脅威ですが、多くの疑問が残っています。インフォスティーラーのアフィリエイトにとって典型的な一日はどのようなものなのでしょうか?彼らはどのように活動し、誰であり、他にどのような活動に関与しており、どこに拠点を置いており、盗まれたログは最終的にどのように使用されますか?
過去12か月間(2024年下半期から2025年上半期まで)、Insikt Groupは、複数の国で事業を展開するLumma関連会社の広範なネットワークについて包括的な調査を実施しました。Insikt Group は、2 つのアフィリエイト ガイダンス マニュアル (図 1 を参照)、Recorded Future Malware Intelligence、Recorded Future Identity Intelligence マルウェア ログ、その他の独自の調査方法を含む幅広いインテリジェンス情報源を利用して、これらのアフィリエイトの運営と取引に関する詳細で独自の洞察を明らかにしました。
調査結果は 2 つのセクションに分かれています。1 つ目は、アフィリエイトの技術エコシステムを調査し、情報窃取手法の使用、好まれるツールやサービス、および繰り返し発生する運用行動を詳しく説明します。2つ目は、ルマの関連会社がより広範な地下経済にどのように組み込まれているかを探ります。サイバー犯罪フォーラムへの参加、追加のインフォスティーラーマルウェアファミリの使用、その他の種類のオンライン詐欺や詐欺への関与を分析します。
脅威分析
運用インフラと貿易技術
プライバシー強化サービス
プロキシサービス
Insikt Group は、 表 1 に詳述されているように、複数の Lumma 関連会社がさまざまなプロキシ サービスを活用していることを観察しました。最も頻繁に使用されたサービスは Pia Proxy でした。プロキシはプライバシーや研究などの正当な目的に使用できますが、サイバー犯罪者によって身元を隠したり、検知を回避したり、制限を回避したりするために頻繁に悪用されます。 ASocks やマルウェアベースの FACELESS などの一部のサービスは、サイバー犯罪フォーラムで公然と販売されています。ASocks は Android デバイスをプロキシに変換する偽の VPN に関連しています が、FACELESS はマルウェアを利用して 同じ目的で IoT デバイスを乗っ取っています。Insikt Group は、プロキシ サービスがサイバー犯罪フォーラムで宣伝されているかどうかなど、いくつかの基準に基づいてプロキシ サービスをタイプ別に評価しました。
表 1 : Lumma アフィリエイトが使用するプロキシ サービス (情報源: Recorded Future )
注目すべきは、Lumma の公式チャネルで発表されたように、2024 年初頭に Lumma が住宅用プロキシ プラグインである GhostSocks チームとのコラボレーションを開始し、アフィリエイトが感染したボットから SOCKS5 プロキシを作成できるようにしたことです ( 図 2 を参照)(1、 2)。2025 年までに、Lumma はこのサービスを 拡大 し、アフィリエイトにバックコネクト プロキシ アクセスを提供します 侵害、ハッキング マシン。 これにより、脅威アクターは被害者のデバイスから発信されたと思われる攻撃を実行できるように なり 、Lumma が期限切れのトークンを更新するために日常的に悪用しているメカニズムである Google の Cookie ベースの保護などのアクセス制御を回避する能力が大幅に向上しました。
少なくとも1つの事例で、Insikt Groupは、Ngiowebボットネットに関連付けられたIPアドレスを使用して、ビルドID vcs1q5にリンクされ、2022年から2023年にかけてCracked、Nulled、Sinisterly、Eternia、Crackingなどのサイバー犯罪フォーラムで「blackowl23」として知られるLummaアフィリエイトを特定しました。このボットネットは、以前、サイバー犯罪プロキシ サービス NSOCKS のほか、VN5Socks や Shopsocks5 などの他のボットネットにも リンク されていました。関連する IP アドレスは、public (脅威についての)レポート作成やその他の (リスクを)軽減する、緩和するアクションによりボットネットの一部ではなくなった可能性が高いことを付 録 A に示します。IPアドレスの多くは、以前に Insikt Group によって検証され、公に 報告 されていました。
VPNサービス
Insikt Groupが実施した調査によると、分析されたすべてのLumma関連会社は何らかの形でVPNサービスを使用しており、多くは複数のプロバイダーを使用していました。これらの関連会社によって観察された使用中のVPNサービスの選択を 表2に示します。
表 2 : 過去 1 年間に Lumma 加盟店が利用した VPN サービス (情報源: Recorded Future )
検知防止ブラウザとマルチアカウントブラウザ
Lumma の関連会社は、識別を回避し、セキュリティ対策を回避し、複数の不正アカウントを同時に管理するために、プライバシーを重視した特殊な検出防止ブラウザ ( 表 3 を参照) に頻繁に依存しています。これらのツールを使用すると、脅威アクターは、真の身元、場所、デジタル指紋を隠すことで、運用セキュリティ (OPSEC) を維持できます。Lumma の関連会社が使用する最も一般的なブラウザの 1 つは Dolphin で、複数の 脅威アクター 制御されたアカウントを管理するために明示的に調整された最高の検出防止ブラウザの 1 つとして広く知られています。 Dolphin の機能は Adspower、Hidemyacc、Kameleo にも反映されており、同様にシームレスなマルチアカウント操作を促進し、運用効率と匿名性を向上させます。サイバー犯罪者の間でも著名なツールである Octo Browser は、高度な指紋マスキングを提供し、法執行機関や Threat Intelligence 専門家による脅威活動を追跡する取り組みをさらに複雑にしています。
Brave ブラウザは、完全な検知対策ではなく、主にユーザーのプライバシーを強化するために設計されていますが、アピールします 脅威アクター 積極的な広告やトラッカーのブロックなどの堅牢な組み込みセキュリティおよびプライバシー機能により。 マルチアカウント管理向けに明確に調整されているわけではありませんが、プライバシーを重視したアプローチは、オンラインでの匿名性を維持しようとする脅威アクターに貴重なベースライン保護を提供します。
表 3 : Lumma アフィリエイトが使用するマルチアカウント管理用の検出防止ブラウザ (情報源: Recorded Future )
ホスティングプロバイダー
Lumma は MaaS 製品を通じてコア C2 インフラストラクチャを提供していますが、その関連会社は、フィッシング活動、ペイロードの展開、その他の悪意のあるアクティビティをサポートすることを目的としたと思われる別のホスティング プロバイダーに依存しています。分析されたLumma関連会社にリンクされているホスティングプロバイダーの多くは合法であるように見えますが、ビルドID re0gvcにリンクされたLumma関連会社が使用しているAnonRDP、Bulletproof Hosting、Hostcayなど、サイバー犯罪者に直接対応し、悪意のある活動を可能にするように見えるものもありました。
AnonRDP
AnonRDP (anonrdp[.]com) は、匿名の VPS および RDP サービスを専門とする自称防弾ホスティング プロバイダーであり、プライバシーと削除への耐性に重点を置いています ( 図 3 を参照)。本人確認は必要なく、ビットコインやモネロなどの暗号通貨支払いのみを受け入れ、決済サービスプロバイダーのNOWPaymentsと、伝えられるところによると、暗号通貨取引所ChangeNOWを通じて 処理 されます。悪意のあるアクティビティに対するその寛容性は、BreachForums、Hack Forums、Nulled、Patched などのディープ Web フォーラムの広告によってさらに 確認 されています。図 3 に示すように、この Web サイトは、ボットネット、リモート アクセス トロイの木馬 (RAT)、フィッシング、詐欺コンテンツ、スパムなどのホスティング、配布、制御などの活動を支援することを明示的に認めています。公開報道によると、AnonRDPは、構成(構成)作成、クラッキングツール、デジタル口座取引など、地下エコシステムに関与した既知の経歴を持つYashvir Keshaveによって 運営 されています。
2025年4月1日、Aeza Group LLCの共同創設者兼最高経営責任者(CEO)であるユーリ・メルザノビッチ・ボゾヤン氏が逮捕された後、Insikt Groupは、AnonRDPが50%割引でAezaの顧客を引き抜こうとしたことを観察した。密猟の成功の程度は依然として不透明です。
防弾ホスティング
同様に、防弾ホスティング (bulletproofhosting[.]org)は、匿名でテイクダウンに強いインフラストラクチャを提供し、暗号通貨の支払いを受け入れ、ID要件がないオフショアのプライバシー中心のホスティングプロバイダーとして自社を売り込んでいます( 図4を参照)。この Web サイトは寛大なコンテンツ ポリシーを推進しており、アダルト コンテンツ、著作権侵害、ギャンブル、および従来のホストによって通常禁止されているその他のコンテンツを明示的に許可しています。DMCA 通知、虐待の苦情、Spamhaus のリストから防御し、FastFlux などの手法を使用し、規制の監視を最小限に抑えながらオフショアまたは強化された施設でホスティングを行うと主張しています。自称「サイバーテックの専門家」によって管理される24時間年中無休のサポートにより、このプラットフォームは耐久性の高い、レジリエンスの高い(に優れた)サービスとして位置付けられており、匿名性と一貫した稼働時間の両方を求めるユーザーに対応するため、脅威アクターや物議を醸すコンテンツ運営者にとって魅力的であることが多い。
ホストケイ
HostCay (hostcay[.]com) は、2023 年に設立され、セーシェルに登録されている国際ビジネス会社 (IBC) である Netacel Inc. によって運営されている、プライバシーを重視したオフショア ホスティング プロバイダーです。HostCay は、言論の自由、内部告発者のサポート、コンテンツ削除要求への抵抗を~を優先して対策を行うホスティング サービスを専門としています ( 図 5 を参照)。 匿名の暗号通貨支払いのサポート、ID 要件なし、強力な言論の自由保護で知られています。
Lumma の関連会社は、ファイル ホスティング プラットフォーム MEGA (mega[.]nz)、ファイルおよびテキスト共有サービス Temp[.]シュ(temp[.]sh)、画像ホスティングサービスImgBB(imgbb[.]com)に入力します。また、 shorturl[.]でおよび free-url-shortener[.]rb[.]gy。
エクスプロイトおよび暗号化サービス
Lumma の運営をサポートする注目すべきサービスの 1 つは、「@cryptexxx」として知られる攻撃者によって運営されています。@cryptexxxは、Lummaの直接の関連会社ではなく、Hectorとして知られる暗号化およびエクスプロイトサービスの運営者です(ドメイン hector[.]su)マルウェアの配布者などに対応しています( 図6を参照)。hector[.]スーcrypt、 exe、 exploits、 chrome、 bypass、 lnk、 url、 xls、 xll、 doc、 docx、 pdf、 builder、 macro、または popupなどのメタキーワードが含まれており、さまざまなファイル形式(OfficeマクロからChromeエクスプロイトまで)にわたって悪意のあるペイロードを作成するための広範なツールキットを示します。フォーラムの議論では、このサービスがマルウェアを配信するための完全に検出不能 (FUD) ドロッパーとドキュメント エクスプロイトを提供することが裏付けられています。たとえば、あるハッカーフォーラムのユーザーは、他のユーザーに「 hector[.]su」を Gmail に添付可能な FUD エクスプロイトのリソースとして指定します。このようなエクスプロイトは、悪意のある Excel アドイン ファイル (.XLL) やマクロが組み込まれたドキュメントなど、武器化された Office ファイルの形式をとることが多く、Lumma ペイロードを埋め込む可能性があり、電子メール スキャナーやウイルス対策保護をすり抜けるように設計されています。
最近の証拠は、これらのツールが実際にどのように使用されているかを示しています。2025 年半ば、アンダーグラウンド ベンダーは、「最新で、2025 年に動作し、Gmail に添付できるほか FUD」という更新された Office エクスプロイトを宣伝し、Gmail のフィルターをバイパスできることを明確に自慢しました。同じ製品では、Windows Defender ランタイム バイパスも強調されており、AV スキャン レポートには 0/26 検知が示されています。 これは、Lumma アフィリエイトがトロイの木馬化されたファイル (Excel .xllファイルまたは悪意のあるショートカット/URL ファイル)は、電子メールゲートウェイのスキャンとエンドポイントのウイルス対策保護の両方を回避しながらスティーラーを配信します。
@cryptexxx の暗号化サービスとエクスプロイト ビルダーを活用することで、アフィリエイトは基本的にステルスと配信の困難な側面をアウトソーシングします。これは、LummaC2 操作の協力的な性質の明確な例であり、マルウェア開発者はインフォスティーラー マルウェアを提供し、サービス オペレーター (@cryptexxx) は難読化およびエクスプロイト ツールキットを提供し、アフィリエイトはこれらのツールを使用してペイロードを被害者に配布します。
メールにリンクされたサービスとツール
Insikt Group 、複数のLumma関連会社が、認証情報検証ツール「EMAIL SOFTWARE 1.4.0.9 cracked by Maksim」やフィッシングページ作成ツール「DONUSSEF」など、さまざまな電子メールおよびスパム関連サービスを使用していることを観察しており、どちらも少なくとも1件の確認されたケースに導入されている可能性があります。
メールソフト1.4.0.9がマクシムによってクラックされました
Maksimによってクラックされた電子メールソフトウェア1.4.0.9は、Windowsのクラックバージョンです。NET ベースの電子メール認証情報検証ツール ( 図 7 を参照)。 IMAPやPOP3などのプロトコルを使用して、メールサーバーに対してメールとパスワードの組み合わせを検証するように設計されています。ユーザーは、電子メール認証情報の大きなリスト (「コンボ リスト」と呼ばれることが多い) を入力して、どの組み合わせが有効かを確認できます。 このツール を使用すると、 ユーザーは電子メール コンテンツ内の特定のキーワードを検索することもできます。このツールは、パスワードで保護された .rarさまざまなハッキングやクラッキングのフォーラム (DemonForums や XReactor など) にアーカイブされ、ユーザー (脅威についての)レポート作成 地下マーケットプレイスで最大 250 ドルの価格。
このツールは、処理された電子メールアドレスのステータスの概要、検証を開始または停止するためのコントロールパネル、プロキシ管理機能など、いくつかの構成オプションを備えたユーザーインターフェイスを備えています( 図8を参照)。
図8 :MaksimによってクラックされたEMAIL SOFTWARE 1.4.0.9のグラフィカルユーザーインターフェイス(GUI)
(出典:Recorded Future)
Insikt Group は、Lumma の関連会社である blackowl23 が盗まれた認証情報の検証にこのツールを使用した、または使用し続けていると評価し、その後、 blackowl23 の不動産詐欺への関与のセクションで詳述されている後続の不動産詐欺に活用されます。 特定された構成に基づいて、アフィリエイトがツールをカスタマイズした可能性があります。
DONUSSEF
Insikt Group は、「DONUSSEF」として知られる別のツールを特定し、分析時に Google ドライブでホストされていた一般公開されているビデオでデモンストレーションされました ( 図 9 を参照)。blackowl23 が使用していると考えられているこのツールは、AI を使用してコマンド ライン経由でフィッシング ページを生成するように設計されています。ユーザーに URL、件名、および意図したフィッシング コンテンツの簡単な説明を入力するよう促し、出力として HTML ファイルを生成します。
Insikt Group は独自にテストできなかったため、このツールが生成できるフィッシング ページの全範囲は不明のままです。デモでは、PayPal フィッシング ページのみを作成する様子が示されました ( 図 10 を参照)。実際のHTMLページが利用できなかったため、Insikt Groupはその効果を評価したり、既知のキャンペーンに掲載されたかどうかを判断したりすることができませんでした。
さらなる調査を通じて、Insikt Group は DONUSSEF の作成者と疑われる人物に関連する可能性が高い YouTube チャンネル を特定しました 。この攻撃者は、このチャンネルを使用して、少なくとも 2 つの追加ツールをデモンストレーションしました: 1 つは受信トレイ配信率 100% の電子メール送信者として 販売され 、もう 1 つは SMS スパム (ビデオでは「 ULTRA-checker.py 」 と呼ばれます) 用です。どちらのビデオも、2022 年 12 月 18 日にフランス語設定を使用したデバイスからアップロードされました。デモビデオの1つでは、俳優は2つの電子メールアカウント ussefescobar@seznam[.]cz と ussefakkar@outlook[.]comは、俳優と関係があると考えられています。
ULTRA-checker.pyツールには、@donussefと@rdpvendorの2つのTelegramチャネルへの参照が含まれています。これらのアカウントのうち少なくとも1つは、スパム関連ツールに関連するTelegramコミュニティで活動しているようです( 図11を参照)。Insikt Groupは、DONUSSEFの作成者と疑われる人物とblackowl23との間に追加の関連性は見つかりませんでした。
その他の電子メール送信者およびリードジェネレーションサービス
Insikt Groupは、Joz Data(jozdata[.]com)、Mailchimp (mailchimp[.]com)、スパミール (spamir[.]fr)、およびマンドリル (mandrillapp[.]com)、とりわけ。Joz Data は、マーケティングとリード生成のために、検証済みのセグメント化されたメール リストを提供します。Mailchimp は、電子メール キャンペーンを設計および管理するための正規のプラットフォームです。Spamir は、テスト ツールキットとして提示されているにもかかわらず、スパムやフィッシング アクティビティにリンクされていることが多い、大量の電子メールと SMS 配信用のツール を提供しています 。Mailchimpの有料アドオンであるMandrillは、SMTPまたはAPIを介してパスワードのリセットや注文確認などのイベントトリガーメッセージを1対1で送信するために使用されるトランザクションメールAPIです。
AVCheck と代替案
多くのように 脅威 マルウェアや関連インフラストラクチャを展開する、Lumma の関連会社は、標準的なサンドボックス環境を超えて検知をテストするためのツールを積極的に探しています。 過去12か月間、Insikt Groupは、複数の関連会社が少なくとも2つのそのようなサービスを使用していることを観察しました。AVCheck(avcheck[.]ネット)、2025年5月に法執行機関に 押収 された。そして最近では、KleenScan (kleenscan[.]com)に入力します。少なくとも1つのアフィリエイトが avscan[.]ネット、ドメインが売りに出されている ように見えた ため、分析時点ではその存在と性質は確認できませんでした。
KleenScanは、複数のウイルス対策エンジンに対して悪意のあるファイル、URL、ドメインをテストするために、サイバー犯罪者によって頻繁に使用され、サイバー犯罪者に販売 されている 代替マルウェアスキャンサービスです( 図12を参照)。ユーザー インターフェイス、API、コマンド ライン クライアント、さらにはアップロードやリアルタイムまたはランタイム スキャン用の Telegram ボット (@kleenscanofficialbot) も提供し、送信されたサンプルがウイルス対策ベンダーと共有されないように「配布なし」ポリシーを明示的に約束しています。Insikt Group は、2025 年 5 月に AVCheck が押収される前に Lumma の関連会社が KleenScan を使用していることを観察しましたが、公開 (脅威についての)レポート作成は、押収によりサイバー犯罪者が代替手段として KleenScan のようなプラットフォームにますます目を向けていることを示しています。特に、KleenScanは hector[.]スー( 図12を参照)は、 エクスプロイトおよび暗号化サービスのセクションで詳しく説明されているエクスプロイトブローカーです。
電話およびSMSサービス
Lumma の関連会社は、OnlineSim、SMS-Activate、Zadarma などの仮想電話や SMS サービス ( 表 4 を参照) をひどく悪用しています。これらのプラットフォームは、SMSまたは音声認証用の使い捨ての電話番号を提供し、脅威アクターはこれを使用してOTPベースのセキュリティを回避し、個人識別子を使用せずに偽のアカウントを作成します。Lumma の関連会社は、仮想番号の 2FA コードまたはアクティベーション PIN を自動的に受信できるため、実際の電話回線を公開することなく、マルウェア配布サイト、クラウド ドライブ、またはメッセージング アカウントを登録できます。この ID の難読化は、インフラストラクチャの所有権を一時的なものに見せることで帰属と削除の取り組みを挫折させるため、Lumma エコシステムにおいて非常に重要です。
実際には、これらのサービスをOTPバイパスと偽アカウント生成に使用することで、Lummaの乗組員はアタックサーフェス、攻撃対象領域を広げることができます。 使い捨ての SMS 番号を使用すると、攻撃者はワンタイム パスコードを攻撃者が制御する受信トレイにリダイレクトすることで、SMS ベースの 2 要素認証を回避できます。これは、盗まれたアカウントが SMS 2FA によって保護されている場合でも、Lumma アフィリエイトは OTP を自分たちが管理する仮想番号に再ルーティングしようとし、保護を事実上無効にする可能性があることを意味します。Zadarma (VoIP プロバイダー) のようなサービスにより、犯罪者は仮想回線で電話やテキストを受信したり、OTP 傍受ボットやビッシング スキームの一部としてなりすまし音声通話を実行したりすることもできます。Lumma アフィリエイト プログラム内では、ガイドやコミュニティのチャットが、使い捨ての電子メールや Telegram アカウントの登録から C2 パネルや詐欺支払いアカウントの設定に至るまで、運用セキュリティのためにこれらのツールの使用を奨励しています。
表 4 : Lumma 加盟店が利用する電話および SMS 連携サービス (情報源: Recorded Future )
メッセージングプラットフォーム
Lumma の関連会社は、複数の安全なメッセージングおよび情報共有ツールを日常のワークフローに統合して、運用セキュリティを強化し、匿名性を維持し、デジタルフットプリントを最小限に抑えます。 アフィリエイトは一般的に、Tox プロトコルを介したエンドツーエンドの暗号化を採用した分散型ピアツーピア メッセージング クライアントである uTox を使用します。このツールは、永続的で安全な通信を促進し、テキスト、音声、ビデオ メッセージングをサポートし、アフィリエイト ID を隠し、中央サーバーへの依存関係を回避するために Tor プロキシと頻繁に組み合わされます。
Lumma エコシステム内のモバイル アフィリエイトは、Xabber や c0nnect[.] などの安全な XMPP ベースの Android アプリケーションを好みます。プロ。どちらのアプリも、オフレコ暗号化、マルチアカウント管理、および制御されたプライベート XMPP サーバーとの互換性による暗号化通信を提供するため、移動中の個別の調整に最適です。アフィリエイトは、これらのアプリケーションを Tor プロキシと連携して実行するように構成することが多く、メタデータがさらに難読化され、デジタル サイバーエクスポージャーが削減されます。
認証情報、パスワード、指示などの一時的な機密情報の送信が必要なシナリオでは、Lumma の関連会社は、一度読むと自己破壊する暗号化されたメモを生成する Web ベースのサービスである Privnote に頻繁に依存します。 この機能により、永続的な記録を残さないため、アフィリエイトの潜在的なフォレンジック フットプリントが大幅に削減され、運用の詳細の安全かつ迅速な交換が可能になります。
これらのツールを総合すると、Lumma 関連会社が採用する階層化された通信アーキテクチャを形成し、永続的な通信、モバイルの柔軟性、一時的な安全な交換のバランスを効果的にとり、リスクを最小限に抑え、ステルス性を強化します。
ソーシャルメディアの最適化
少なくとも1つのケースで、Insikt Groupは、Lummaの関連会社がBosslike(bosslike[.]ru)は、Instagram、VK、TikTokなどのプラットフォーム( 図13を参照)で「いいね!」を無料で迅速にブーストすると主張しており、おそらく詐欺関連の活動を支援していると思われます。
サイバー犯罪エコシステムへのアフィリエイトの組み込み
フォーラムへの関与
Lumma のアフィリエイト エコシステムは、コラボレーション、リソース、マーケットプレイスのハブとして機能するアンダーグラウンド フォーラムで繁栄しています。XSS や Exploit などのロシア語のサイバー犯罪フォーラムは、Lumma の MaaS の出発点として機能し、窃盗者が最初に 宣伝され 、コミュニティによって精査された場所です。これらのフォーラムは、技術的に熟練した脅威を惹きつけ、新しいマルウェアの提供に信頼性を与えます システムとモデレーターの監視。 アフィリエイトは、Lumma ビルドを取得するだけでなく、信頼できるエスクローおよび仲裁サービスを利用して、ツールを購入したりパートナーとの紛争を解決したりする際のより安全な取引を確保するために、これらを頻繁に利用します。Exploit や XSS などのフォーラムで確立された信頼は、経験豊富なモデレーターの監視の下、サーバーのレンタルから競合の解決まで、アフィリエイトがビジネスを行うための信頼できる環境を提供します。
同時に、LolzTeam (zelenka[.]グル)ルンマ作戦の歩兵を 募集 し訓練する温床となっている。これらのよりアクセスしやすいフォーラムでは、インフォスティーラー マルウェアの拡散を専門とする脅威アクターである「トラファー」専用のセクションがホストされており、アフィリエイト チームの編成や新規参入者の教育に積極的に使用されています。たとえば、LolzTeam では、経験豊富な犯罪者が、マルウェアの配布を開始するために必要なすべてを初心者に提供する情報窃取者アフィリエイト プログラムを宣伝しています。あるケースでは、LolzTeam のチームが、盗まれた暗号通貨資産から利益の一部を受け取って、暗号化された Lumma ビルドを新入社員に無料で提供し、SEO サポートさえも提供しました。この低い参入障壁と、フォーラムに投稿された詐欺手法と運用セキュリティに関するチュートリアルを組み合わせることで、LolzTeam のようなプラットフォームが情報窃取者配布のための労働力プールに変わります。特定の地域を標的にすることに対する規則やスキームに対する一般のフィードバックなど、フォーラムのコミュニティ主導の審査は、アフィリエイトが効果的で「受け入れられる」手口、戦術を学ぶのにさらに役立ちます。 これらの掲示板では、一般的な詐欺手法が頻繁に議論され、普及しており、Lumma アフィリエイトは収益化の手口や被害者の操作戦略についての洞察を得ることができます。
おそらく最も重要なことは、これらのアンダーグラウンド フォーラムが、Lumma アフィリエイトが盗んだデータを収益化し、キャンペーンを最適化するために活用する既製のマーケットプレイスとサービスを提供することです。インフォスティーラーのログは需要が高く、フォーラムはアフィリエイトを、このデータが売買される賑やかな市場に結び付けています。ロシア市場 (rm1[.]に)、たとえば、フォーラムサークルからアクセスできる自動ショップは、その膨大な在庫とワンクリック購入の利便性から「盗まれた認証情報のアマゾン」と 評 されています。 2024 年後半までに、Lumma はロシア市場で 認証情報 の約 92% を占め、盗まれたログ リストの約 92% を占め ており、Lumma アフィリエイトが利益のためにそのようなプラットフォームにどれほど広範囲に収益を投棄しているかを浮き彫りにしています。 LolzTeam独自のマーケットプレイスや xleet[.]捕虜同様に、インフォスティーラー ログ、侵害、ハッキング アカウント、デジタル商品のセクションを含め、アフィリエイトが Lumma 感染のデータを最高入札者に迅速に販売できるようにします。 フォーラムマーケットプレイスは、データ販売を超えて、Lummaの関連会社を初期アクセスブローカーや金融詐欺サービスに結び付け、盗んだ情報を現金に変換するのに役立ちます。アフィリエイトは、企業ログインの購入者を見つけることができます 認証情報 または、これらのフォーラムで宣伝されているマネーロンダリングおよびキャッシュアウトサービスに参加できます。
アンダーグラウンドフォーラムは、Lummaの関連会社が必要とする技術的および運用的サポートのワンストップショップとしても機能します。Lumma 開発者またはピア コミュニティ メンバーによって実行される専用 スレッド は、技術支援、更新のお知らせ、トラブルシューティングのアドバイスをリアルタイムで提供します。これは、アフィリエイトがフォーラム コミュニティにビルダーの設定、ウイルス対策回避のヒント、または法執行機関の削除に関する情報の共有を求めることができることを意味します。フォーラムでは、ステルス キャンペーンを実行するために不可欠なマルウェアに隣接するさまざまなサービスもホストしています。防弾ホスティング、VPN、トラフィック分散のプロバイダーは、すべての主要なフォーラムに集まっています。同じサービスプロバイダーが複数のサイトで頻繁に広告を掲載するため、アフィリエイトは Lumma マルウェアをホストするための耐久性の高い、レジリエンスの高い(に優れた) サーバーと Web ドメインを簡単に入手できます。 暗号化サービスも同様にアクセス可能です。たとえば、人気のある Cassandra クリプターなどはフォーラム マーケットプレイスで宣伝されており、アフィリエイトは Lumma ペイロードを継続的に暗号化および再パッケージ化してウイルス対策を回避できます。
エクスプロイト キット、偽のドキュメント テンプレート、スパムボットのレンタル、認証情報チェッカーなど、サービスの豊富なエコシステムがあり、アフィリエイトはこれらのコミュニティから情報を源 業務を強化するために。 これらのフォーラムは、Lumma アフィリエイトにコミュニティによって精査された包括的なツール スイートを提供します。この実用的で運用的な価値こそが、Lummaのアフィリエイトネットワークがアンダーグラウンドフォーラムに深く組み込まれている理由であり、マルウェアを展開して隠す手段だけでなく、そのアウトプットから利益を得るメカニズムも提供しており、すべて泥棒間の信頼を強化する半構造化されたコミュニティ内で提供されています。
カーディングショップ
Lumma Stealer のアフィリエイトは、 b1ackstash[.]cc、スタッシュパトリック[.]io、BriansClub ( 図 15 を参照) (bclub[.]センチメートルそして ブライアンズクラブ[.]cm)、そして binsoficial666[.]activo[.]エックス盗んだ財務データを効率的に収益化します。Insikt Groupは、これらの情報源の信頼性は大きく異なると指摘しています。BriansClubのようなショップは、支払い詐欺エコシステム内で権威があると見なされていますが、 binsoficial666[.]activo[.]エックスレピュテーションがとても貧弱です。 一般的なサイバー犯罪委員会とは異なり、カーディング Web サイトは支払いデータの取引に特化しており、クレジット カード番号、銀行ログイン、個人情報を探している詐欺師の組み込みの顧客ベースを引き付けます。Lumma アフィリエイトは、新しく入手したカード記録と「フルズ」を大量に販売することでこの需要を利用し、多くの場合、フォーラムのエスクローまたはショップ システムを通じて販売ごとに一定の割合を獲得します。本質的に、カーディングプラットフォームにより、Lummaのアフィリエイトは盗んだカードデータをすぐに利益に変えることができ、BriansClubのような大量のアウトレットは歴史的に何百万もの取引を行っていました 侵害、ハッキング マルウェアのアフィリエイトから提供されたカード。
Beyond sales, carding forums offer operational support for fraud that broader hacking forums do not. Lumma affiliates frequent these communities to learn and collaborate on card-not-present (CNP) fraud using stolen card credentials to buy goods or launder money online. The forums host vetted tutorials for abusing e-commerce sites and payment processors, helping thieves bypass anti-fraud measures. Members also advertise criminal services such as providing “drop” addresses (safe delivery points for goods bought with stolen cards) or converting illicit purchases into cash. Additionally, these forums supply validation tools and services critical to fraud operations. Lumma affiliates can purchase or access credit card checkers that automatically test which cards from their stealer logs remain valid and have credit available, ensuring they only spend time on live cards. They might also acquire Bank Identification Number (BIN) lists and other utilities, using the community’s pooled resources to maximize successful transactions. Carding sites enable Lumma affiliates to offload infostealer loot in bulk, complementing sales on broader crime forums. A single Lumma infection yields an expansive log of credentials, cookies, system data, and often multiple financial accounts; parsing and individually selling each asset can be labor-intensive. Carding marketplaces or associated breach data shops let affiliates resell entire stealer logs or specific datasets to other criminals who specialize in exploiting them. For example, high-value logs from Lumma, containing not just cards but bank account passwords or cryptocurrency wallet keys, are often posted on underground markets or offered via automated bot vendors shortly after exfiltration. This practice allows Lumma affiliates to monetize stolen information at scale: they can quickly sell bundles of fresh logs to brokers or fraud rings while focusing their own efforts on new infections. In tandem with general hacking forums, these carding forums provide the ecosystem for cashing out Lumma’s results. They offer a one-stop underground economy where affiliates convert stolen data into money through direct sales of CVVs and “fullz,” the provision of guidance and tools for fraudulent transactions, and the bulk resale of stolen logs. This significantly enhances both the profitability and practicality of Lumma operations.
追加のインフォスティーラーの使用
Insikt Groupは、Lummaと並んで他の情報窃取者を利用しているLummaの関連会社をいくつか観察しました。
Meduza Stealer、Vidar、CraxsRATは、メキシコを拠点とするLummaの関連会社と思われる会社が使用しています
Lumma ビルド ID re0gvc にリンクされたアフィリエイトは、さまざまなフォーラムで複数のエイリアスで活動するメキシコを拠点とする脅威アクターと思われるもので、IP アドレス 195[.]133[.]18[.]15.Lumma と同様に、Meduza Stealer は Windows ベースの MaaS インフォスティーラーであり、認証情報、ブラウザ データ、暗号ウォレットを抽出するように設計されています。
Insikt Groupはまた、同じ脅威アクターがWindowsベースの情報窃取者であるVidarを使用したことを示す信頼度の高い指標と、アフィリエイトに関連付けられていると思われるTelegramのプロフィール画像に基づいて、AndroidベースのRATであるCraxsRATの使用を示唆する中程度の信頼度の証拠を特定しました( 図17を参照)。これは、このアフィリエイトがモバイル デバイスも標的にしている可能性があることを示していますが、Insikt Group は、この活動を確認するための関連するサンプル、インフラストラクチャ、またはキャンペーンは見つかりませんでした。
Lumma Affiliate が使用する Stealc suffergrime
Lumma ビルド ID test222 と eLMNFu にリンクされている別の関連会社は、さまざまなフォーラムで「suffergrime」として知られ、duckfuck、cryptplease、ultracool2201、borodach、dedo4ek などの他の複数の別名で活動しており、Lumma と一緒に StealC を使用していたようです。Stealc は、C で記述され、MaaS として配布されるモジュール式の回避情報窃取ツールです。より具体的には、suffergrime が URL hxxp://94[.]232[.]249[.]208/6a6fe9d70500fe64/main.php。Insikt Groupは、アフィリエイトがスペイン語を話す可能性が高く、南米に起源がある可能性を示唆する兆候があると評価しています。
worldmix10k のウォレットと Vilsa Stealer への関心
上記のケースに加えて、Insikt Groupは、ビルドID 1dacrpに関連付けられ、おそらく「worldmix10k」として知られるLummaアフィリエイトが、以前に「poopybuthoop」という名前のGitHubリポジトリでホストされていた「Wallet Stealer」と、以前に公に 報告 された情報窃取者であるVilsa Stealerの2つの追加のスティーラーに関心を示していることを観察しました。分析時点では GitHub リポジトリにアクセスできなくなりましたが、履歴スナップショットは Ecosyste によって保存されました。
特に、文字列「worldmix10k」を検索すると、Insikt Groupは、同じアフィリエイトにリンクされたビルドID「1dacRP--worldmix10k」のLummaサンプルにたどり着きました。このサンプルでは、 techmindzs[.]住むそして 地球シンフゾニー[.]今日C2ドメイン、およびSteamCommunityのURL、 hxxps://steamcommunity[.]com/profiles/76561199822375128 を使用して、デッドドロップ解決用に使用します。Insikt Groupは、サンプルに関連する正確な感染連鎖を特定できませんでした。
その他の詐欺への関与
過去 12 か月間に複数の Lumma 関連会社を分析したところ、「 追加の情報窃取者の使用」セクションで概説されているように、多くの関連会社が複数の情報窃取者を同時に使用しているだけでなく、さまざまな異なる詐欺行為に関与している可能性が高いことが明らかになりました。これらの詐欺の 1 つは、blackowl23 として知られる Lumma 関連会社に関連しており、Insikt Group から特に注目を集めており、以下で詳しく説明します。
blackowl23 の不動産詐欺への関与
Insikt Group 、blackowl23が不動産詐欺に関与していたことを示す証拠を発見し、ドイツのウェブサイトWG-Gesuchtなどのプラットフォーム上の、おそらく俳優が作成した賃貸物件と侵害、ハッキングの両方が、被害者をだましてアパートの内覧前に支払いをさせるために使用されました。 このスキームの一環として、blackowl23 は電子メール アドレス immo-total[@]outlook[.]comおよび mwimport[@]outlook[.]de ( 図 19 を参照)。
より具体的には、アフィリエイトは「過去に物件を借りたい人々との悪い経験」があったと主張し、「物件に着いたとき、そこには誰もいなかった」ため、「ビジネスの予約がキャンセルされ、時間とお金を無駄にした」と述べた。これを正当化して、被害者に Booking.com による支払いを求め、プロセスは安全であり、被害者がアパートに不満を抱いた場合には返金されると主張しました( 図20を参照)。特に、このアクティビティで 観察された のと同じ URL パス ( property-aid-63785823-label-gen-832513841233) が、2024 年に Fortian によって報告されたレンタル詐欺キャンペーンの最終段階の URL にも見られました。その場合、被害者はだまされて宿泊施設を予約させられ、使用されたドメインはタイポスクワッティングの亜種であるようで、booking[.]eu-apt-booking[.]家、Cloudflare経由でホストされます。
こんにちは
残念ながら、いいえ、しかし、このメールには、アパートを借りて確認できる booking.com リンクが添付されています。プラットフォーム上で家賃手続きと支払いが完了したという booking.com 確認書を受け取ったら、アパートへの直接訪問または入居を手配できます。家賃の手続きは booking.com によって確保されており、アパートが気に入らない場合は、その日に銀行口座に直接問題なく返金されます。アパートを確認して家賃手続きを完了できる booking.com リンクは次のとおりです。
hxxps://REDACTED/property-aid-63785823-label-gen-832513841233/en/528104900
ご質問やご不明な点がございましたらお知らせください。レンタル手続きが完了したら、確認書をお送りください。
図 20 : Lumma アフィリエイトのターゲットに送信されたテキスト (情報源: Recorded Future )
Insikt Groupはまた、アフィリエイトが同様のスキームを採用していたことを示す裏付けとなる証拠を発見しました:世界中にエスクローエージェントがいると主張し、予約を確保するために被害者に支払いリンクを送信し、資金は安全に保管され、「利用可能な銀行口座の1つ」に送金されると約束しました。この場合、Insikt Groupは実際の支払いリンクを回復できませんでした。
アフィリエイトは WG-Gesucht などのプラットフォームで独自のアカウントを作成している可能性がありますが、証拠によると、彼らは多数の侵害、ハッキング WG-Gesucht 認証情報を持っています。 Insikt Groupは、これらの認証情報の少なくとも一部がアフィリエイトのLumma感染によって盗まれたと仮説を立てています。これに関連して、ログの販売は一般的に儲かる一方で、特定の価値に注意することが重要です 認証情報WG-Gesucht のようなプラットフォーム向けのものなどは、直接転売ではなく後続の詐欺での使用から来る可能性が高く、一部の購入者がログに限定的な関心を示す理由を説明できる可能性があります。
今後の展望
Insikt Groupの Lumma 関連会社に対する独自の調査により、プロキシ、VPN、検出防止ブラウザ、エクスプロイト キット、暗号化サービス、マルウェア検知ツールなど、さまざまなツールやサービスによって可能になる大規模な情報窃取エコシステムが明らかになりました。 調査中、 Insikt Group これまで報告されていなかったツールを特定し、アフィリエイトがレンタル詐欺などの複数の詐欺を頻繁に並行して実行し、Vidar、Stealc、Meduza Stealer などの追加の情報窃取者を活用して、成功率を高め、検知や法執行機関の混乱の影響を軽減する可能性が高いことを実証しました。 今後、Lumma の関連会社は、専門的でニッチなフォーラムでプレゼンスをさらに多様化し、暗号通貨に焦点を当てたプラットフォームや暗号化されたメッセージング エコシステムとより深く統合し、検知と破壊の取り組みを複雑にする可能性があります。
多くの手口、戦術、ツールは、Lumma MaaS オペレーターが提供する共有ガイドの影響を受けている可能性が高いアフィリエイト間で標準化されているように見えますが、運用上の違いは意味があります。 個々のアフィリエイトの行動を理解することで、特定の脅威がより広範なエコシステム内でどのように出現し、進化するかをより明確に把握できるため、これらのニュアンスは防御者にとって非常に重要です。さらに、この調査結果は、Lumma の関連会社の多くがカジュアルな参加者ではなく、サイバー犯罪者の地下組織と深いつながりを持つ埋め込み攻撃者であることを強調しています。階層化されたツールセットの採用とマルウェアファミリー全体の多様化は、成熟度と適応性の両方を示唆しています。
今後を見据えると、最近の法執行機関の取り組みによりルマのインフラは一時的に混乱しましたが、最小限の変更でグループの迅速な回復は、その回復力と運営規律を強調しています。法執行機関の取り組みが個々の関連会社に及ぼす長期的な影響は、Lumma が信頼を再構築し、信頼を維持する能力にかかっており、インフラストラクチャの迅速な復旧、 プロアクティブなコミュニケーション、そしておそらく機能の強化を通じて追求する目標。 より広範に言えば、最近の法執行活動は、現代のサイバー犯罪活動が分散型ネットワークとしてどのように機能するかを強調しており、混乱が成功しても短期的な影響しかもたらさない傾向があります。持続的な緩和には、ルマのインフラを混乱させることに加えて、進化する手口、個々の関連会社の行動を追跡するための継続的な法執行機関の圧力と的を絞った諜報活動が必要です。
付録A — Lumma Affiliate blackowl23 が使用する Ngioweb ボットネットにリンクされた IP アドレス
付録B — 侵害、ハッキングの指標 (IoCs)
Ngioweb IPアドレス:
38[.]91[.]107[.]238[.]91[.]107[.]22951[.]83[.]116[.]466[.]29[.]129[.]5267[.]213[.]210[.]11567[.]213[.]212[.]50162[.]210[.]192[.]136174[.]138[.]176[.]77174[.]138[.]176[.]78195[.]154[.]43[.]189209[.]159[.]153[.]19212[.]83[.]137[.]94212[.]83[.]138[.]186212[.]83[.]138[.]245212[.]83[.]143[.]103212[.]83[.]143[.]118212[.]83[.]143[.]159212[.]83[.]143[.]191ルマサンプル:
b8e02f2bc0ffb42e8cf28e37a26d8d825f639079bf6d948f8debab6440ee5630
メドゥーザパネル:
hxxp://195[.]133[.]18[.]15/認証/ログインステルクパネル:
hxxp://94[.]232[.]249[.]208/6A6FE9D70500FE64/main.php