GA黄金甲

首页 > 安全钻研 > 钻研汇报 > 攻击与威胁分析

从AI钓饵到自动化攻击组织的一次深度分析与溯源

颁布功夫 2025-08-07

第一章概述

近期，GA黄金甲ADLab在威胁狩猎平台上发现多起假装成为AI大模型利用法式的网络攻击。通过对这批攻击的持久追踪和分析，我们发现这些看似零散的利用AI大模型热度进行传布的攻击，其实背后暗藏着一个拥有高度组织化、自动化和全球化运营特点的黑客组织。在长功夫的溯源和追踪后，最终网络到了大量与该黑客攻击活动有关的样本、基础设施以及活动谍报数据�；谡庑┦莸姆治�，我们发现该黑客组织通过构建了一整套自动化网络攻击系统来实现规�；腃2治理、自动化的基础设施配置、机械人化的社群传布、批量化的恶意软件天生与分发等等职能，其中C2的自动化天生还具备了熵值和语义绕过的机造。

在今年以来，各类以AI作为话题和钓饵的攻击再三出现，我们也在2月份第一功夫发现了银狐APT组织利用合法DeepSeek部署软件进行攻击的安全威胁。在持续的几个月中，固然依然存在很多零散利用AI的在野攻击，但这些攻击并没有持续性。直到我们把稳到一系列与GPT有关的恶意载荷的出现如“AI GPT4 TRADING BOT.rar”、“ChatGPT4 Online.rar”、“ChatGPT-Gemini4.rar”和“OpenAI GPT Images.rar”等，只管这类假装在今年的投毒样本中早已层出不穷，但这些载荷所关联出的黑客行为数据并非我们此前所看到零散攻击那么单一。通过对这批样本进行类似性匹配并结合二进造特点进行聚类分析，我们总共发现了4431个强关联载荷，其中涉及的基础设施有1927个，当然我们网络到的数据并不齐全，甚至只是其冰山一角。同时通过其投放源头分析、传布渠路、恶意软件个性我们确信这并不是由玄色产业链（存在大量结尾黑客）做的样本出产，而仅仅就是一个黑客组织通过其背后自动化攻击系统批量天生。

在我们发现的4431个原始攻击载荷中，除了利用AI话题进行诱导和扩散表，黑客还出产了大量如“Free NordVPN.rar”、“Adobe Photoshop + Crack.rar”、“Steam Account Checker 2025.rar”和“PornHub Downloader Video.rar”等的攻击样本，这些钓饵文件名称覆盖了从VPN破解、盗版软件、账号检测器到色情内容下载等多种指标场景。该组织有意识地设计出一套多元化钓饵，覆盖更宽泛的潜在指标。

在追踪分析过程中同时，我们对恶意载荷进行了屡次解密得到恶意载荷的主题负载，并最终确认被投放的恶意软件为当前非�；钤镜那悦苣韭怼狶umma Stealer。攻击载荷通过三阶段的payload解密、结合过程注入、花指令、代码混合以及API动态挪用等方式来匹敌分析。该木马自2022 年起在地下论坛迅快盛行，作为一款“恶意软件即服务”（MaaS）Stealer，其具备�？榛芄购妥炒蟮氖萸匀∧芰Γ喝缜匀′榔髅苈胗隒ookies、加密钱币钱包、FTP/VPN/email客户端配置文件等多种敏感数据。同时凭借其轻量化和优良的免杀个性，该木马被蕴含“Scattered Spider hacking group”、“Black Basta”、“Storm-1607”和“FatherOfCarders”以及“Moon Cloud”在内的多个驰名黑客组织所宽泛选取，成为网络犯罪分子的沉要攻击兵器。此表，在去年的PowerSchool 攻击事务中， Lumma Stealer作为初始入侵阶段的沉要入口，导致超过 7,000 万纪录泄露，这些犯罪分子使用其参加信誉卡诓骗、初始接见权销售、加密钱币偷窃等。与此同时，微软、美国司法部和欧洲刑警组织等在今年5月份的结合行动期间，查出至少394,000 台 Windows 电脑受到 Lumma Stealer习染。

在本次追踪分析中，我们通过解密成功还原并关联出一大批恶意域名、恶意URL和更大量的恶意样本，并结合前期网络的数据和黑客有关的谍报信息，对基础设施发展溯源与关联分析，进而成立起一套较为齐全的攻击基础设施画像。共同盛开谍报源和平台数据，我们追踪到了其背后的黑客组织在多个社交媒体平台上布设的垂钓诱导资源、疏导链接以及大量与之配套的机械人账号。从分析的了局来看，黑客投入的基础设施不仅规�？晒�，且具备高度�？榛褪视π�，显示出成熟的攻击能力与运维能力。结合其持续投放Lumma Stealer等窃密木马的行为能够判断，该组织的主题指标是在全球领域内大规�；袢∮没舾惺萦胧肿什�。其攻击并非零散试探，而是一次经过充分筹备、明确指标、成系统执行的网络犯罪状动。本文将萦绕这次攻击中的钓饵文件传布方式、基础设施搭建、攻击指标特点及典型样本进行深刻分析与注明。

第二章传布蹊径分析

通过持久的追踪我们网络到了大量的样本及有关数据，而后我们对这些样本和数据进行了系统性关联分析，试图还原出这批攻击的传布蹊径及传布源头。我们以动态行为日志、URL特点、关键字监控和多平台溯源等伎俩，正确地找到了攻击源，该黑客组织的重要攻击载荷源头有：即时通讯软件Telegram、文件分享平台MediaFire和4shared以及GitHub仓库、论坛帖子等。

2.1、Telegram频路

在追忆攻击载荷的源头时，我们发现最多起源为即时通讯软件Telegram。在此过程中，我们就在追踪某个名为“ChatGPT4 Online.rar”的恶意压缩包样本时，竟意表揭开了攻击者利用Telegram实现自动化传布的一角。这个假装成热点AI工具的样本最初呈此刻一个名为“Private Program Arhive 2025”的个人频路中，该频路的创建功夫为2025年6月18日，订阅用户仅267人，如图1所示。

图片1.png

图1 某个人频路

通过对该频路的监控发现，一旦该频路出现新攻击样本，这些样本就会瞬间呈此刻其他频路上，而后我们将这些频路纪录下来。在长功夫的追踪和观察之后，我们发现该频路是所有频路的最终样正本源，该频路总共267个订阅者，却没有任何谈天纪录和活跃度，不外一旦频路中存在恶意软件分享时，会被这些订阅者急剧转发到此外频路上。

因而通过追踪转发的主张频路，我们网络到了一些下游的传布蹊径，下游频路中大部门是正�；钤镜钠德罚ǚ呛诳妥越ㄆ德罚�，甚至部吩斓路是极端活跃的好比“SILVER BULLET CONFIGS” 和 “VIP HitMaster? Program”，这两个频路的人数别离高达6383和51419人，并且持久关注“技术和利用法式”和“加密钱币”等话题。这衷斓路对于黑客来说是一种极佳的传布频路。我们追忆到的其他频路还有：Mother Flame（订阅数:7900，加密钱币频路）、BMA (Books)[]（订阅数4099，电子书籍频路）、DeVoReCords（订阅数2846，技术和利用法式频路）、Chat GPT 2025（订阅数2738，AI工具频路）和SL CAT EHI FILES ?[] [ 02 ]（订阅数2487，技术和利用法式频路）等。当然还有大量下游频路由于某些限度无法参与，有的已经被Telegram封禁。

不外在我们跟踪过程中发现多个齐全无关联的频路，在统一功夫点同步颁布了统一批恶意压缩包。例如，在2025 年3月9日 22:54这个功夫点，一批样本被同时转发到 “DeVoReCords” 和 “Mother Flame”频路；又如在2025年6月18日下午02:48这个功夫点，一批样本同步呈此刻 “SILVER BULLET CONFIGS”和“BMA (Books)[]” 等频路中（如图2所示）。这一景象排除了人为操作的可能性，这批注这些恶意样本的原始颁布行为由统一的Telegram机械人节造，并通过关注话题批量地植入多个 Telegram 频路中执行投放工作。

图片2.png

图2 恶意法式被其他频路同步转发

我们将部门转发纪录和有关的频路列到表1中，从转发功夫来看，攻击者至少从去年12月份就起头投放此类恶意软件，在今年3月份、5月份和6月份又别离执行了密集的样本投放，以至这些样本在这段时辰进行了大领域传布。

频路名称	订阅人数	转发功夫	国度	类别
VIP HitMaster? Program	51419	/	马来西亚	加密钱币
Mother Flame	7900	2025.03.3001:552025.03.26 04:15 2025.03.09 22:542025.03.07 21:39 2024.12.14 00:02	印尼	加密钱币
SILVER BULLET CONFIGS	6383	2025.06.1814:48 2025.06.09 21:40 2025.06.09 08:30 2025.06.05 03:35 2025.06.04 03:41 2025.05.23 01:46 2025.05.22 22:58 2025.05.09 00:09 2025.05.05 02:30 2025.05.01 03:49	荷兰	技术和利用法式
BMA ( Books ) []	4099	2025.06.1814:48 2025.06.09 21:40 2025.06.09 08:30 2025.06.05 03:35 2025.06.04 03:41 2025.05.23 01:46 2025.05.22 22:58 2025.05.09 00:09 2025.05.05 02:29 2025.05.01 03:49	伊拉克	书籍
DeVoReCords	2846	2025.05.3001:57 2025.03.26 04:13 2025.03.09 22:542025.03.07 21:39	美国	技术和利用法式
Chat GPT 2025	2738	/	/	AI工具
SL CAT EHI FILES ? [][ 02 ]	2487	2025.05.01 03:49	斯里兰卡	技术和利用法式
Private Program Arhive 2025	267	2025.06.1814:45	/	/
…	…	…	…	…

表1 转发过此类恶意软件的频路

进一步分析发现，这些机械人账号的活动并不局限于这些频路，它们宽泛埋伏于AI工具、破解文件分享等全球领域内的多个Telegram频路中，组成了一个自动化、高效能的投放系统。这也诠氏缢为何一些正本订阅量有限、活跃度低的频路仍能在短功夫内实现样本的大领域传布。

此表，攻击者不仅创建了初始投放频路，还提前将多个假装成通常用户或热心分享者的自动化机械人账号埋伏至大量正常频路中。这些机械人具备监听、触发、沉投放的自动化能力，能凭据关键词或指令实时进行信息同步。其背后应是一套自动化的分发、传布机械人在工作，即黑客启动攻击的指令发出后，自动化机械人自动上传恶意样本，而后自动联动多个机械人账号将统一新闻迅快同步至指标频路，实现恶意软件的指数级扩散。

然而，我们还看到攻击者也在不休适应和躲避审查，他们通过更换频路名称、成立备用频路、利用转发链条等方式持续传布恶意内容。由于Telegram不足高效的文件内容审查机造，攻击者常通过“幼频路颁布—大频路转发”的方式，实现恶意文件的急剧传布和习染量的几何级增长，即便Telegram官方陆续封禁部门传布频路，但在平台匿名性强、传布链条分散的布景下，恶意软件仍旧能迅快在其他频路中卷土沉来，难以根除。

2.2、文件分享平台

除了Telegram渠路表，我们还在4shared和MediaFire公开文件分享平台上追踪到了这批恶意文件的传布痕迹。

图片3.png

图片4.png

图3 4shared平台和mediafire平台上的恶意法式

其中4shared平台允许用户通过公开链接分享压缩包、可执行文件等资源，且对上传文件的安全性审查较为幽微。好比另表一个名为“AI GPT4 TRADING BOT.rar”的样本（和Telegram上的样本同名但不是统一批样本）也已经被上传到4shared平台（如图3所示），并且该文件的链接被分享到一些论坛中，或被嵌入到仿冒网站中，配上引诱性话题和文字，诱使用户点击下载。

如图4显示，“AI GPT4 TRADING BOT.rar”的上传日期是2025年4月13日，由名为“Ronildo D.”的用户上传，“Shared from SM-A037M”批注该恶意文件是通过三星手机“SM-A037M”分享的。（4shared 的APP在上传时会读取设备的型号信息并将其作为元数据与文件关联，以显示文件的起源设备。“SM-A037M”是三星为其 Galaxy A03 Core 手机分配的特定型号。字母和数字的组合代表了设备系列（A系列）、型号（03）、版本（Core）以及销售区域或网络类型）。这暗示上传者很可能是在他的三星手机上装置了 4shared 的APP，而后直接通过该APP从手机的存储当选择了 "AI GPT4 TRADING BOT.rar" 文件并上传分享，当然黑客也可能通过仿照器来操作，不外目前没有显著的证据。

图片5.png

图4 恶意软件的分享信息

图5是4shared平台中，上传者“Ronildo D.”的用户界面。我们可知上传者来自巴西，注册自两年前，该用户目前在4shared平台上占有7个文件夹，并在该平台分享了120个文件（不外目前这批样本已无法接见）。该账号由于注册得较早，因而可能是黑客通过木马窃取的用户凭证后将恶意法式上传到该账号下，而后在各类社交媒体或者论坛进行传布。由于黑客的传布蹊径较为宽泛，且涉及的样本量异常的多，因而，这很有可能也是黑客攻击行动自动化执行的其中一环。

图片6.png

图5 恶意软件上传者信息

2.3、其他渠路

此表，黑客还利用GitHub 仓库、YouTube 和 Facebook告白等渠路进行恶意软件链接的分发（见图6），进一步印证其传布战术正朝着“多平台、多伎俩、融合社会工程”的方向演进。通过多传布蹊径叠加和批量样本的自动分发以实现更为宽泛传布。

图片7.png

图6 其他传布方式

第三章基础设施分析

在这次攻击的分析过程中，我们通过对前期网络到的多个恶意软件样本进行关联，同时利用样本的网络通讯特点、表连域名地址、代码指纹等进行扩线和数据网络，得到了大量的样本和域名数据。起初我们关联并锁定了9个恶意C2服务器地址（见表2）。

pomelohgj.top	voznessxyy.life	insidegrah.run
homewappzb.top	clatteqrpq.digital	descenrugb.bet
grizzlqzuk.live	ninepicchf.bet	snakejh.top

表2关联到的恶意C2服务器地址

随后以这9个恶意C2服务器地址为线索，结合恶意代码二进造指纹、通讯特点、样本标签等多个维度关联线索，追踪到4431个原始攻击载荷。通过对样本哈希进行去沉，最终筛选出共计2918个恶意样本。我们对这2918个恶意样本的天生功夫进行了统计（见图7），数据显示这些恶意样本的投放活动重要集中在今年的1月、2月、4月和5月，在去年12月仅有1个样本，今年6月与7月也仅有零散投放，出现出显著的阶段性顶峰，这注明该系列攻击活动在今年起头到5月的行动后，从6月份起头出现了显著降温。这可能是他们在调整攻击战术，或者攻击被防护伎俩压造了一阵。

图片8.png

图7 恶意样本天生功夫统计

接着，我们以这2918个强关联样本为基础，进一步挖掘其内置或通讯过程中露出的更多恶意C2服务器地址。通过批量解析样本配置和网络通讯特点，结合自动化剧本对提取的C2地址进行汇总，剔除沉复和无效数据后，最终确认共计771个独立的恶意C2地址，我们这里将部门C2地址列到表3中。

tirepublicerj.shop	tentabatte.lat	lightdeerysua.biz	rockemineu.bond	localixbiw.top
framekgirus.shop	wordyfindy.lat	mixedrecipew.biz	broadecatez.bond	stockyslam.top
abruptyopsn.shop	slipperyloo.lat	affordtempyo.biz	offsetyofcre.bond	narrathfpt.top
cloudewahsj.shop	curverpluch.lat	hoursuhouy.biz	tranuqlekper.bond	citellcagt.top
rabidcowse.shop	shapestickyr.lat	measlyrefusz.biz	moonehobno.bond	cornerdurv.top
wholersorie.shop	observerfry.lat	impolitewearr.biz	reliedevopoi.bond	posseswsnc.top
noisycuttej.shop	manyrestro.lat	pleasedcfrown.biz	quarrelepek.bond	featurlyin.top
nearycrepso.shop	bashfulacid.lat	grandiouseziu.biz	granystearr.bond	threatqjqy.top

表3 部门C2服务器地址

从这些C2域名名称能够显著的看出，其拥有自动化天生的特点，这里险些所有域名是由一两个正常英文单词结合有肯定随机的字符串组成，看起来像正常词汇，但现实上是无语义的。以往大量自动化水平较高的黑客组织喜欢选取DGA或者随机域名来实现C2地址批量化出产，但是该黑客选取这种看似不起眼的转变其实主张在绕过当前主流的一些恶意域名检测算法，好比这种出产步骤能够大大降低熵值以及提高天然说话的语义性，这种处置在某种水平上能够绕过以静态黑名单技术、熵值判定技术、天然语说话义检测技术为基础的检测系统。

同时，我们还使用自动化剧本对这771个域名的注册者、联系方式、注册机构和注册功夫等关键信息进行了追踪和网络，以进前进一步的溯源分析。然而由于这些域名险些全数启用了隐衷�；し�，导致注册人、联系方式、注册机构等字段被暗藏或以匿名信息包办，无法成立域名与攻击者身份之间的关联。此表，我们对这些域名的注册功夫进行了统计，了局如图8所示。

图片9.png

图8 恶意C2注册功夫统计

从注册功夫散布上看，在2021到2024年这段功夫，恶意域名的注册数量很少，一个月注册量普遍都在20个之下，像是在摸索阶段，没怎么有大作为，自2025岁首起头注册量显著增长，尤其在1月、2月、4月和5月出现出集中暴涨的趋向，而到了6月则出现了显著回落。这一变动法规与我们前文提取出的2918个恶意样本的天生功夫高度沉合，二者在功夫维度上险些同步。这一高度一致性批注，攻击者在发展大规样子本投放行动之前，往往会提前批量注册C2域名用于配套使用，这种配套关系，体现出攻击活动背后具备明确的打算性与组织性。整体感触，黑客是在有打算、有节拍地铺设攻击基础，接下来的几个月，攻击很可能再次发作，我们将亲昵关注。

在实现上述C2域名的关联分析之表，我们还进一步对前文筛选出的2918个恶意样本在执行过程中接见的恶意URL进行了统计与归类。为提高正确性，我们对所有接见纪录进行了人为筛选与特点分析，剔除了部门关联性较弱、疑似误报或非关键的URL，最终整顿出1156个高度可信的恶意地址，表4是其中的部门URL地址。这些URL被用于Lumma Stealer执行的后阶段行动，其体式为“http://ip/files/数字/随机名.exe”，像是攻击者通过自动化剧本动态天生的了局。这些链接大多直连一个硬编码的IP地址，无需解析域名，显然是为了躲避DNS层的监测拦截。蹊径中的数字可能代表工作编号、批次标识，而文件名则多为大幼写混合的伪随机字符串，主张是逃避特点匹配和静态规定。下载的内容涵盖EXE、BAT、PS1等多种体式，注明攻击者会凭据场景动态投送分歧类型的恶意载荷，蕴含辅助工具、解密�？椤⒆愿禄蚝笮畔⑶匀∽榧�。

恶意URL

http://176.113.115.7/files/1362458159/TZhhGqc.exe

http://176.113.115.7/files/1494968410/cVPsEcV.exe

http://176.113.115.7/files/1494968410/gbz6UL4.exe

http://176.113.115.7/files/1566754488/2KdMigj.exe

http://176.113.115.7/files/1615968338/67e0HNq.exe

http://176.113.115.7/files/1763292343/jrKsxjw.exe

http://176.113.115.7/files/1781548144/6lTXbuX.exe

http://176.113.115.7/files/5149365135/ILqcVeT.exe

http://176.113.115.7/files/5149365135/rXOl0pp.exe

http://176.113.115.7/files/5153162918/Ps7WqSx.exe

http://176.113.115.7/files/5153162918/uW8i508.exe

http://176.113.115.7/files/5153283513/rA6Gys9.exe

http://176.113.115.7/files/5165347769/T3g5uSf.exe

http://176.113.115.7/files/5215106624/82x5hPR.exe

http://176.113.115.7/files/5265591378/bgUvqLl.exe

http://176.113.115.7/files/5419477542/qhjMWht.exe

表4部门恶意URL

从其掌控的大量恶意基础设施来看，蕴含成规模注册的域名资源、可动态切换的散布式IP 池、部署在多个社交平台的自动化传布剧本、机械人账号及假装账号，该黑客组织展示出显著的系统化、自动化运营特点。这些基础设施不仅覆盖领域广、部署矫捷，还具备较高的复用性与持续运行能力，反映出其在恶意软件运营方面具备较高的技术成熟杜纂丰硕的攻击经验。综合其大规模、持续地投放Lumma Stealer等信息窃取类恶意软件的行为模式判断，该黑客组织攻击指标显然面向全球用户的隐衷数据与数字资产，拥有明确的经济动机与不变的行动执行机造，属于典型的有组织网络犯罪活动。从技术起源上揣摩，该黑客组织很可能依赖自身把握的一套自动化支持体下反维持上述基础设施的运行，这种自动化支持系统降低了攻击门槛，提升了运营效能，也加剧了此类威胁的荫蔽性与固执性。

第四章攻击指标分析

我们将该黑客组织在社交网络中颁布的多个假装文件名、假装软件类型以及行业用处整顿在表5中，从假装文件名来看，黑客重要萦绕两个方向投放钓饵：一是热点技术关键词（如 ChatGPT、GPT-4、Gemini、OpenAI GPT），二是破解、灰产工具及盗版资源（如激活工具、账号查抄器、VPN、色情下载器、SMTP/IPTV 扫描器等）。表格中的“假装软件类型”说了然假装软件的所属类型，而“行业用处 ”一栏则说了然其指标受多的兴致领域或所处行业。从整体定名战术来看，该黑客组织并未针对特定企业或当局机构等高价值指标执行精确投放，而是通过假装热点关键词和常见破解工具，在互联网多个渠路引流扩散，试图以最幼成本换取最大习染面。

文件名	假装软件类型	行业用处
ChatGPT 4 online.rar	AI 工具装置包	面向AI 工具爱好者 / 开发者
ChatGPT-4 Online.exe	AI 可执行法式	同上
ChatGPT - Gemini 4.rar	AI 工具/多模型整合	对ChatGPT 和 Gemini 有兴致的用户
AI GPT4 TRADING BOT.rar	自动买卖工具	面向数字钱币/ 金融投契者
OpenAI GPT Images.rar	AI 天生图片包	AI 画图 / 创作者
Fake ID Cards.rar	犯法文件资源	网络诳骗/ 骗证件人群
Free NordVPN.rar	破解VPN 工具	想匿名浏览的用户
Free ExpressVPN.rar	同上	同上
Netflix Mail Account Checker 2025.rar	邮箱撞库工具	黑产/ 卡商 / 账号收割者
PornHub Downloader Video.rar	成人内容下载器	成人内容消费者
SMTP Cracker 2025 version.rar	邮件爆破工具	针对垃圾邮件营销/ 黑客操作人员
Steam Account Checker by Risky 2025.rar	游戏平台账号工具	卡商、盗号者、游戏黑产
TradingView Online Unlimited.rar	金融图表破解版	面向股票/ 加密买卖者
AIO Multi Checker v 9.10.rar	多平台检测器	黑产账号验证者
BLTools Logs Checker 3.2 PRO.rar	日志分析/ 转卖工具	黑产使用
GIFT CARD GENERATOR 25 MODULES.rar	礼物卡天生器	诳骗/ 诓骗意图群体
Netflix Account Checker.rar	账号暴力工具	撞库者/ 黑产使用
Steam Account Checker.rar	同上	同上
Universal IPTV Scan v3.0.rar	网络电视资源工具	破解电视用户/ 卡商
Windows 10 Activatior.rar	系统激活工具	想绕过付费Windows 的通常用户
Adobe Photoshop + CDkey.rar	破解软件	设计师/ 内容创作者
PhotoShop_V26Fullversion.zip	图像软件	同上
Bitdefender Antivirus + CDkey.rar	杀毒软件破解	想省钱的通常用户
Avira Antivirus 2025 + CDkey.rar	同上	同上
Microsoft Office 2025 + CDkey.rar	办公软件破解	白领
Windows Activator 2025.rar	系统激活工具	同上
Adobe Photoshop + Crack.rar	图像处置软件破解	同上
IPTV scanner +Playlist Scanner & Checker 2025.rar	IPTV 扫描工具	破解/盗播 IPTV 用户
netstat.exe	系统工具	仿照合法系统工具，引诱点击
IDM_6.4x_Crack_v19.9.exe	下载器破解	想获取IDM破解的通常用户

表5假装的恶意文件名及类型

由表5不难看出，这次攻击更偏差于宽泛针对有特定下载需要的通常用户，尤其是活跃于破解资源、灰产工具和技术论坛等非正规渠路的群体。例如，使用“ChatGPT4Online”、“AI GPT4 TRADING BOT”、“Gemini 4”等定名，意图吸引但愿履历前沿AI工具但不足技术门槛或付费意愿的用户；而“Free VPN”、“Netflix/Steam Account Checker”、“GIFT CARD GENERATOR”等则直指存在盗版使用、账号批量获取等行为偏差的灰色用户群体。此表，带佑装Crack”、“CDkey”、“Activator”等字样的文件，则进一步露出了攻击者将潜在受害者锁定在追求破解激活、犯法绕过付费机造的群体之中。这次黑客恶意文件的投放战术虽不复杂，却因切近攻击指标需要、假装性强，具备较高的蛊惑性与传布效能。

第五章典型样本分析

如图9所示，黑客的攻击流程是这样的：黑客会将恶意法式定名为“AI GPT4 TRADING BOT.rar”等极具引诱性的名字，而后在各大社交平台或者论坛扩散，通常用户通过搜索引擎或社交平台误入有关链接并下载执行。恶意法式通过多阶段层层解密payload和过程注入执行，最终向通常用户设备上投放Lumma Stealer木马。Lumma Stealer木马运行后，会窃取习染设备上浏览器保留的密码、Cookies、加密钱币钱包、FTP/VPN/email客户端配置文件等敏感信息，并通过C2服务器实时上传窃取的数据。以下我们将对Lumma Stealer一次典型的攻击进行深刻的技术分析，蕴含有关恶意法式的加载流程、关键函数和节造号令等。

图片10.png

图9 攻击流程图

5.1、第一阶段分析

在对原始恶意样本的分析过程中，我们发显熹选取了恶意软件时时使用的一种步骤“手动映射过程注入法”将恶意PE文件写入合法过程MSBuild.exe 并执行。手动映射注入法不依赖操作系统的尺度加载器，而是由恶意代码自行实现PE加载、内存写入和执行流沉定向，这种步骤会绕过通例加载机造，实现对恶意PE文件的荫蔽执行，这样做能够暗藏执行蹊径，并在肯定水平上绕过安全产品的行为检测。

首先，恶意样本通过CreateProcessA 创建一个挂起状态（dwCreationFlags蹬宗4）的 “C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\MSBuild.exe”过程（如图10所示），这样能够预防指标过程当即执行原有代码，便于后续操控。

图片11.png

图10 创建挂起的MSBuild.exe过程

接着，其挪用Wow64GetThreadContext获取主线程的寄放器高低文（见图11），重要是为了获取指令入口地址和栈指针，为注入后的跳转做筹备。

图片12.png

图11 获取主线程的寄放器高低文

随后，其使用VirtualAllocEx 在指标过程MSBuild.exe中申请一块内存空间，用于搁置恶意的PE文件。如图12所示，申请内存的肇始地址为0x00400000，申请的内存大幼为0x00165000，第四个参数flAllocationType为0x3000，代表内存分配的类型为“MEM_COMMIT | MEM_RESERVE”，最后一个参数flProtect为0x40，代表内存�；な粜晕癛WE”。

图片13.png

图12申请内存空间

通过屡次挪用WriteProcessMemory，其将恶意PE的各个Section逐段写入到MSBuild.exe过程的这块内存中，仿照出一个齐全的映像结构（图13是写入恶意文件PE头的操作部门）。

图片14.png

图13 写入恶意文件PE头

如图14所示，在内存机关实现后，样本挪用Wow64SetThreadContext将指标线程的入口地址批改为注入PE的肇始地址，即实现了代码劫持。最后，通过ResumeThread复原被挂起的线程，使其从设置的新入口起头执行，从而实现对恶意代码的荫蔽执行。

图片15.png

图14设置线程高低文信息并复原线程执行

这种注入方式整体操作较为底层，但执行链路短、节造力强，无需落地文件就实现了内存攻击，这使得检测难度显著增长。

5.2、第二阶段分析

在第一阶段，原始恶意样本新建合法过程MSBuild.exe并向其中注入恶意PE文件并执行，其恶意PE文件执行后会挪用CreateFileW向习染主机“C:\Users\[username]\AppData\Roaming”目录开释两个恶意法式，恶意法式名称由总长度蹬宗10的字母和数字随机组成，如图15所示。

图片16.png

图15写入恶意文件

开释完恶意法式后，恶意PE文件再挪用ShellExecuteA执行这两个恶意法式，如图16所示。使用这种执行方式，更切近正常用户操作，不易触发某些AV/EDR的特点规定，常被恶意软件用于绕过部门行为检测。

图片17.png

图16 执行恶意法式

图17即是上述操作开释并执行的两个恶意文件。“HauP0PNxwr.exe”大幼为11,264bytes，掌管杀毒软件检测，“KZbu03ZssI.exe” 大幼为1,239,080bytes，用于执行后续的恶意行为。

图片18.png

图17开释的恶意文件

5.3、第三阶段分析

KZbu03ZssI.exe执行后，会使用和第一阶段同样的“手动映射过程注入法”，创建合法过程“C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\MSBuild.exe”，并向过程MSBuild.exe内存中注入Lumma Stealer恶意软件执行，这里仅列出KZbu03ZssI.exe向MSBuild.exe过程写入Lumma Stealer的PE头以作注明（见图18）。

图片19.png

图18向MSBuild.exe注入Lumma Stealer

5.4、Lumma Stealer分析

如前所述，经过前面一系列的操作，最初的恶意法式最后向受害者设备投放了窃密工具Lumma Stealer，其自2022 年8月起就以“恶意软件即服务”（MaaS）模式在地下论坛被宽泛推广，图19是某黑客论坛上Lumma Stealer的告白，图20是Lumma Stealer分歧套餐蕴含的职能介绍。其具备壮大的信息网络与数据表传能力，其重要个性蕴含窃取浏览器保留的密码与Cookies、加密钱币钱包信息、FTP/VPN/email客户端配置文件等多种敏感数据和支持插件化职能扩大。Lumma Stealer以其轻量化、高兼容性和绕过检测能力强等特点，在地下市场宽泛流通，被“Scattered Spider hacking group”、“Black Basta”等多个攻击组织用于定向信息窃取与初始入侵阶段。

图片20.png

图19黑客论坛上Lumma Stealer的告白

图片21.png

图20分歧套餐的职能介绍

我们从内存中dump出了这次投放的Lumma Stealer，而后对其进行了逆向分析，图21是这次分发的Lumma Stealer典型入口函数。

图片22.png

图21 Lumma Stealer 入口函数

Lumma Stealer使用了大量的花指令和代码混合以滋扰分析工具和安全分析人员，如图22所示。此表，其还使用了动态DLL加载和动态API挪用等方式来匹敌安全分析。

图片23.png

图22 花指令操作

我们首先对Lumma Stealer内置的C2服务器地址进行相始提取，如图23所示。Lumma Stealer从颁布到版本6，其内置C2配置体式经历了屡次演变，从XOR+Base64到 Chacha20+硬编码再到此刻的Chacha20+分离密钥块，能够预感，内置C2服务器地址的加密手法还会持续升级。

图片24.png

图23 内置的C2地址

随后我们对该Lumma Stealer进行了动态调试，我们动态调试过程中发现，“Lumma Stealer”一次只会选中一个C2服务器进行交互，其首先会检测选中的C2服务器是否处于活动状态，若是不处于活动状态，则选择下一个C2服务器，若是处于活动状态，则发送后续号令。图24是“Lumma Stealer”挪用WinHttpSendRequest向C2服务器发送RECEIVE_MESSAGE号令要求数据的截图。

图片25.png

图24 向C2要求数据

“Lumma Stealer”发送的每个号令都蕴含一个或多个参数，这些参数作为POST表单数据被发送至指标C2服务器，这些参数和其寓意见表6，表7则是Lumma Stealer一些最常见的号令及其搭配的有关参数注明。

参数	寓意	备注
act	向C2发送的号令	此参数在version 6 中被去除
ver	版本号	这个值总是4.0，并且自Lumma Stealer第一个版本以来从未扭转过
lid	用于鉴别Lumma client	version5和之前
uid	同上	version6
j	可选参数，用于鉴别附加职能	version5和之前
cid	同上	version6
hwid	习染设备唯一标识符	/
pid	用于标识被盗数据的起源	在SEND_MESSAGE号令中使用

表6 参数和其寓意

号令	作用	号令及其有关参数	备注
PING / LIFE	查抄C2 是否处于激活状态	act=life	在version6中被去除
RECEIVE_MESSAGE	用于下载Lumma Stealer的配置文件，该文件蕴含了指标列表的有关信息	act=recive_message&ver=4.0&lid=[]&j=[]	version3和之前
		act=receive_message&ver=4.0&lid=[]&j=[]	version4和version5
		uid=&cid=[]	act在version6中被移除
SEND_MESSAGE	用于分块传送被盗数据	act=send_message, hwid, pid, lid/uid, and j/cid	act在version6中被移除
GET_MESSAGE	用于下载第二个配置文件，该配置文件蕴含了有关插件以及要装置在指标系统上的其他恶意软件的信息，目前发现安Lumma Stealer会装置新版本剪贴板窃取插件和挖币软件	act=get_message&ver=4.0&lid=[]&j=[]&hwid=	version 5和之前，
GET_MESSAGE		uid=&cid=[]&hwid=	act在version6中被移除

表7 常见的号令及其有关参数

RECEIVE_MESSAGE号令发送给C2服务器后，返回的payload解密后为一个json结构，蕴含了具体的数据网络指令，提供了齐全的浏览器扩大列表和感兴致的网站列表。该结构分为三个重要部门：ex、mx 和 c。

ex：此列表列出了多多的浏览器扩大法式，重要是加密钱币钱包（好比MetaMask, Ronin Wallet, Trust Wallet, Coinbase）、密码治理器（好比1Password ，LastPass）以及认证工具（好比Authy, EOS Authenticator, GAuth）。每一笔纪录都蕴含一个唯一的标识符（Chrome 扩大法式ID）和一个易于阅读的名称。

mx：此字段为指定的扩大法式提供了特定的指令，好比MetaMask 的纪录中蕴含了一个“et”参数，该参数带有密码推导设置（迭代次数=600000），其可用于暴力破解攻击或在离线状态下验证密码�；さ目�，此部门可针对必要特殊处置的高价值指标进行个性化设置。

c：这是该结构中最实用的部门，以下是每个对象的寓意：

t - 窃取类型，暗示文件获取的类型，好比文件或注册表

p - 窃取指标蹊径，通常是%appdata% 或 %localappdata% 蹊径

m - 匹配模式，筛选特定文件(好比keystore, *.sqlite)

z - 窃取的文件在攻击方一侧要保留的文件夹(好比Wallets/Ethereum)

d - 窃取目录的深度

fs - 最大文件大幼(好比说20MB)

这些规定明确讲了然Lumma Stealer从加密钱币钱包、浏览器会话、FTP/VPN/email客户端配置文件、密码治理器和通用用户配置文件中窃取敏感信息的意图，图25是一个精简的该结构的例子。

图片26.png

图25 RECEIVE_MESSAGE号令返回的payload解密后的结构示意图

GET_MESSAGE号令的响应则单一好多，如图26，它蕴含一个指向远程服务器上托管的PE可执行文件（如netstat.exe）的 URL，u暗示下载地址；ft指文件类型（0暗示exe，1暗示dll，2剧本或其他）；e指文件是否静默执行（0暗示正常执行，1暗示暗藏执行）。这批注该Lumma Stealer能够通过此渠路接管后续阶段的指令，可用于更新自身、分发恶意代码或激活特定�？�。

图片27.png

图26 GET_MESSAGE号令返回的payload解密后的结构示意图

Lumma Stealer从最初颁布到如今的版本6，职能不休迭代，其可能窃取大量敏感数据，蕴含多个主流浏览器（如Chrome、Edge、Firefox、Opera等）保留的账号、密码、Cookies、自动填表信息、汗青纪录等；其还会窃取加密钱币钱包如Binance、Electrum 和以太坊等钱包；其同样会窃取习染设备FTP客户端、邮件客户端（如Outlook、Thunderbird）和即时通讯软件的登录凭证以及特定蹊径文件并支持插件化职能扩大。

Lumma Stealer 的主题是恶意软件即服务（MaaS）生态系统的范例：网络犯罪分子只需支付订阅费（起价为 250 美元/月），即可获得更新的恶意软件版本、仪表板接见、技术支持和自界说职能，攻击者只必要通过网络仪表板就能够接见被窃取的数据，整个攻击流程实现了“即插即用”，即便毫无技术基础的操作者也能轻松上手。这种低门槛、高效能的攻击工具，无疑会给企业与幼我带来显著威胁。

第六章总结

本次事务揭示了一个高度组织化、自动化并具备全球投放能力的黑客集体。他们不仅节造着大量恶意域名与IP资源，还在Telegram等社交平台上部署了重大的自动转发机械人网络。这些机械人埋伏于多个热点频路中，一旦接管到指令，便会将假装成热点软件的恶意文件迅快推送给成千上万名用户，覆盖领域逾越多个国度与地域。攻击者的指标人群不仅限于AI兴致群体，险些所有使用Telegram、对免费资源感兴致的通常用户都有可能成为受害者。其主题意图是获取全球领域内的敏感信息、数字资产，甚至远程节造权限，充分体现出该组织在投罢休段与持续运营方面的高度成熟与荫蔽性。

面对这类有组织、高效能的大规模网络攻击，通常用户不应再抱佑装事不关己”的幸运生理。如今，恶意软件的传布门槛已大幅降低，无需垂钓邮件或缝隙利用，仅凭社交平台的无监管环境与诱导性标题，就足以使恶意文件迅快扩散并造成严沉影响。应对此类攻击，既必要平台加强内容审核和封禁机造，也离不开安全社区、钻研人员与终端用户之间的合作与联防。为预防习染此类假装成热点AI工具或破解软件的恶意法式，建议用户始终维持高度警惕，预防从非官方渠路下载压缩包或可执行文件。所有软件应通过其官方网站获取，预防装置额表法式。在打开任何下载文件前，应使用杀毒软件或在线扫描服务进行安全查抄，并确保操作系统及安全产品实时更新。如失慎运行了可疑法式，应第一功夫断网，并尽快追求专业技术支持，以预防信息泄露或设备被远程节造。

参考：

https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/

https://www.certego.net/blog/lummastealer/

https://www.trendmicro.com/en_us/research/25/g/lumma-stealer-returns.html

GA黄金甲积极防御尝试室（ADLab）

ADLab成立于1999年，是中国安全行业最早成立的攻防技术钻研尝试室之一，微软MAPP打算主题成员，“黑雀攻击”概想首推者。截至目前，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计颁布安全缝隙6500余个，持续维持国际网络安全领域一流水准。尝试室钻研方向涵盖基础安全钻延注数据安全钻延注5G安全钻延注AI+安全钻延注卫星安全钻延注运营商基础设施安全钻延注移动安全钻延注物联网安全钻延注车联网安全钻延注工控安全钻延注信创安全钻延注云安全钻延注无线安全钻延注高级威胁钻延注攻防匹敌技术钻研。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

04152424g9z1

官方微信

12145445s033

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? GA黄金甲版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】