Lumma Stealer (a.k.a. LummaC2) – Phân tích mối đe dọa InfoStealer hiện đại

Lumma Stealer (a.k.a. LummaC2) – Phân tích mối đe dọa InfoStealer hiện đại

Executive Summary

Lumma Stealer là một dòng infostealer phổ biến, tập trung vào nền tảng Windows, được cung cấp theo mô hình malware-as-a-service (MaaS) từ năm 2022. Malware này nhắm tới thông tin đăng nhập trình duyệt (browser credentials), Cookie, ví tiền điện tử (crypto-wallets), các extension 2FA trên trình duyệt. Đồng thời, nó sử dụng các kỹ thuật né tránh phân tích mạnh mẽ (anti-VM, anti-debug, unhooking/indirect syscalls) cùng với cơ chế luân chuyển C2 linh hoạt nhằm duy trì hoạt động. Các báo cáo gần đây cho thấy các chiến dịch Lumma vẫn hoạt động tích cực trong giai đoạn 2024–2025, và sau một đợt gián đoạn quy mô lớn vào tháng 05/2025, malware này đã nhanh chóng hoạt động trở lại. [1][2][3][4]

Key Findings

• Tổng quan dòng & mô hình kinh doanh (Family overview & business model): Lumma là một dịch vụ MaaS được bán cho các affiliate, cho phép họ xây dựng payload tùy chỉnh và quản lý log thông qua web panel; dữ liệu đánh cắp được kiếm tiền trực tiếp hoặc thông qua các initial access broker. [1][6]
• Phân phối (Distribution): Các phương thức phát tán phổ biến bao gồm phishing/malvertising, các trang CAPTCHA giả (“ClickFix”), lạm dụng các nền tảng đáng tin cậy, và các dịch vụ PPI/traffic sellers. [2][3]
• Mục tiêu (Targets): Credentials và cookies từ các trình duyệt nền tảng Chromium/Firefox, ví tiền điện tử và các extension 2FA là các mục tiêu thu thập ưu tiên. [7][8]
• Né tránh phân tích (Anti-analysis): Ghi nhận việc sử dụng mạnh các kỹ thuật như anti-VM (VirtualBox/BIOS/Wine), anti-debug (kiểm tra cửa sổ như OLLYDBG), control-flow obfuscation, API hashing, unhooking/indirect syscalls và cơ chế delay execution (sleep dài), được quan sát trong quá trình phân tích và các báo cáo công khai. [9]
• C2 & exfiltration: Mẫu phân tích sử dụng HTTPS để kết nối tới nhiều domain .su, thực hiện HTTP POST tới đường dẫn /sawo, phù hợp với hạ tầng C2 luân chuyển của Lumma được ghi nhận ngoài thực tế. [2]
• Trạng thái hoạt động (2025): Sau một chiến dịch phối hợp đa bên đã thu giữ khoảng 2.300 domain vào tháng 05/2025, hoạt động của Lumma đã được khôi phục với hạ tầng và phương thức phát tán stealth hơn. [2][4]

Anti-analysis và Evasion (High Confidence)

• Kiểm tra môi trường ảo hóa & giả lập (Virtualization & emulation checks): Thực hiện kiểm tra registry và phần cứng nhằm phát hiện môi trường VirtualBox (ACPI keys), chuỗi BIOS/system/VideoBIOS, và sự hiện diện của Wine.
• Phát hiện debugger (Debugger detection): Kiểm tra cửa sổ liên quan đến OLLYDBG/GBDYLLO (chuỗi đảo ngược), sử dụng API như IsDebuggerPresent, CheckRemoteDebuggerPresent, NtQueryInformationProcess, và kỹ thuật ẩn thread thông qua NtSetInformationThread.
• Unhooking & indirect syscalls: Thực hiện loại bỏ hook (unhooking), đặc biệt nhắm vào CommandLineToArgvW, và sử dụng indirect syscalls cho các hàm như NtOpenFile, NtMapViewOfSection, NtSetInformationProcess, NtUnmapViewOfSection,… phù hợp với các kỹ thuật né tránh EDR.
• Packing/obfuscation: Sử dụng các section PE có tên bất thường/không phổ biến, entropy cao, và trùng khớp với các rule YARA (ví dụ: Themida/shellcode patterns); đồng thời ghi nhận việc làm rối luồng điều khiển (control-flow tampering) và delay thực thi dài (>5 phút).

Các hành vi né tránh này là đặc trưng của các biến thể Lumma gần đây, với việc áp dụng obfuscation luồng code, API hashing, can thiệp vào ETW/telemetry và logic chống sandbox. [9]

Discovery và Collection

• Khám phá hệ thống/người dùng (System/user discovery): Thực hiện truy vấn tên máy (computer name) và tên người dùng; liệt kê tiến trình (process enumeration) với các bộ lọc “process interest”.
• Thu thập credentials & ví (Credential & wallet harvesting): Truy cập sâu vào các profile Chromium và thư mục “Local Extension Settings” của Chrome/Edge cho hàng chục extension, đồng thời truy cập các thư mục ví (ví dụ: Coinomi, Bitcoin), phản ánh đúng trọng tâm thu thập wallet/2FA của Lumma.
• Trinh sát công cụ bảo mật (Security tooling reconnaissance): Thực hiện nhiều truy vấn đọc trong các registry hive của Windows Security Health và Windows Defender, được ghi nhận trong context tiến trình con của trình duyệt - đặc trưng của hoạt động profiling môi trường.

Command-and-Control và Exfiltration

• Giao thức (Protocol): Sử dụng HTTPS tới các domain .su thay đổi liên tục; thực hiện nhiều request POST tới đường dẫn /sawo với header Content-Type: application/x-www-form-urlencoded hoặc multipart; ghi nhận fingerprint JA3/JA4.
• Hạ tầng (Infrastructure examples – observed): Domain consnbx.su → 134.209.165.152 cùng với một cụm domain liên quan như:
  sirhirssg.su, prebwle.su, cerasatvf.su, averiryvx.su, acrislegt.su, diadtuky.su, rhussois.su, todoexy.su.
• Đóng gói dữ liệu (Packaging): Hành vi phù hợp với định dạng “log” của Lumma — bao gồm credentials, cookies và các artifact hệ thống được đóng gói để phục vụ việc bán lại hoặc cung cấp cho các broker. [6]

Delivery Ecosystem

Các affiliate của Lumma sử dụng nhiều phương thức phát tán khác nhau, bao gồm: Phishing và malvertising, lạm dụng các nền tảng đáng tin cậy (ví dụ: cloud/CDN/code sharing), hệ thống phân phối lưu lượng (Traffic Distribution Systems – TDS), các luồng CAPTCHA giả/ClickFix, đánh lừa người dùng thực thi payload (ví dụ: yêu cầu nhấn Win + R rồi paste nội dung từ clipboard) [2][3]

Objectives và Targeting

Lumma tự động hóa việc thu thập: Credentials và cookies trình duyệt, Artifact của ví tiền điện tử, dữ liệu từ các extension 2FA. Các hoạt động này trực tiếp hỗ trợ: Chiếm quyền tài khoản (Account Takeover), tạo điều kiện cho các đối tác ransomware thông qua việc bán lại quyền truy cập ban đầu (initial access resale) [7][6]

Evolution và Resilience

Theo theo dõi của Microsoft, Lumma đã có ít nhất sáu phiên bản, với các thay đổi liên tục về: URI, định dạng POST, Domain, kỹ thuật né tránh (evasion). Sau đợt gián đoạn vào tháng 05/2025 (khoảng 2.300 domain bị thu giữ), hoạt động của Lumma đã xuất hiện trở lại với hạ tầng stealth hơn, phương thức phát tán kín đáo hơn. [2][4]

MITRE ATT&CK® Mapping (Representative)

Chỉ dấu xâm nhập (Indicators of Compromise – từ mẫu phân tích)

Mạng và Giao thức

Domain (HTTPS SNI / HTTP Host):

consnbx.su
sirhirssg.su
prebwle.su
cerasatvf.su
averiryvx.su
acrislegt.su
diadtuky.su
rhussois.su
todoexy.su

IP phân giải (tại thời điểm quan sát): consnbx.su → 134.209.165.152

TLS/JA3/JA4 (quan sát được):

• JA3: a0e9f5d64349fb13191bc781f81f42e1 (client)
• JA4: t12d190800_d83cc789557e_7af1ed941c26 (client)

Dấu hiệu né tránh phân tích (runtime)

• Kiểm tra máy ảo (VM checks): HKEY_LOCAL_MACHINE\HARDWARE\ACPI\DSDT\VBOX__, đọc chuỗi BIOS; kiểm tra Wine tại HKCU\Software\Wine.
• Kiểm tra debugger: Kiểm tra window class OLLYDBG / GBDYLLO; kiểm tra qua API (IsDebuggerPresent, NtQueryInformationProcess, CheckRemoteDebuggerPresent).
• Né tránh EDR / Unhook: Thực hiện gỡ hook (ví dụ: CommandLineToArgvW) và sử dụng indirect syscalls (NtOpenFile, NtMapViewOfSection, NtSetInformationProcess, NtUnmapViewOfSection, NtReadFile, NtOpenSection, NtClose).

Hoạt động thu thập (filesystem/registry)

• Truy cập các profile Chromium/Edge và thư mục Local Extension Settings của nhiều extension
• Truy cập các đường dẫn ví tiền điện tử (ví dụ: Coinomi, Bitcoin)

Hướng dẫn phát hiện và săn tìm (Detection và Hunting)

Network

• Cảnh báo lưu lượng HTTPS outbound tới các domain .su mới hoặc tồn tại ngắn hạn — đặc biệt khi xuất hiện POST /sawo trong log HTTP (proxy/MITM).
  Kết hợp với JA3 a0e9f5d6... và domain mới đăng ký để tăng độ tin cậy.
• Giám sát việc thay đổi nhanh giữa các domain .su có tên tương tự, cùng ASN/hosting — đặc trưng của hạ tầng Lumma. [2]

Host / EDR

• Việc tạo vùng nhớ RWX từ process không signed trong user context, sau đó thực hiện indirect syscalls là dấu hiệu nghi vấn mạnh.
• Chuỗi hành vi đáng chú ý: process enumeration → anti-debug → kiểm tra VM → HTTPS POST
• Đọc số lượng lớn tại: %LOCALAPPDATA%\Google\Chrome\User Data\**\Local Extension Settings\** và các thư mục ví từ process không phải trình duyệt.

Biện pháp giảm thiểu và tăng cường bảo mật

• Chặn các IoC đã biết và xem xét kiểm soát/inspect các domain .su mới ở outbound. [2]
• Vệ sinh trình duyệt (Browser hygiene): Không lưu credentials quan trọng trên trình duyệt; ưu tiên dùng FIDO2 (MFA chống phishing) cho tài khoản admin/tài chính. [3]
• Kiểm soát file/link: Loại bỏ macro, chặn tải file thực thi từ TLD không tin cậy, và đào tạo người dùng về các chiêu fake CAPTCHA/ClickFix. [3][2]
• Tăng cường EDR: Phát hiện hành vi unhooking/indirect syscalls và sleep dài; cảnh báo khi có truy cập bất thường tới Local Extension Settings. [9]
• Giám sát credentials: Theo dõi rò rỉ trên các chợ log của Lumma và reset password/token khi cần. [6]

Dự báo mối đe dọa (Threat Outlook)

Mặc dù đã có chiến dịch triệt phá lớn vào tháng 05/2025, hệ sinh thái affiliate và khả năng thay đổi hạ tầng nhanh của Lumma đã giúp nó phục hồi chỉ trong vài tuần. Các xu hướng cần lưu ý: Phát tán qua malvertising, GitHub, fake CAPTCHA. Né tránh qua indirect syscalls, unhooking. [4][2]

Phụ lục A - Chỉ dấu quan sát (từ mẫu phân tích)

Network

• consnbx.su → 134.209.165.152 (HTTPS), lặp lại POST /sawo
• Các domain .su bổ sung: sirhirssg.su, prebwle.su, cerasatvf.su, averiryvx.su, acrislegt.su, diadtuky.su, rhussois.su, todoexy.su

Hành vi trên host

• Anti-VM: HKLM\HARDWARE\ACPI\DSDT\VBOX__, đọc BIOS/VideoBIOS; Wine: HKCU\Software\Wine
• Anti-debug: Kiểm tra OLLYDBG, GBDYLLO; API (IsDebuggerPresent, NtQueryInformationProcess)
• Né tránh EDR: Gỡ hook CommandLineToArgvW; indirect syscalls tới: NtOpenFile, NtMapViewOfSection, NtUnmapViewOfSection, NtSetInformationProcess, NtReadFile, NtOpenSection, NtClose
• Thu thập: Truy cập...\Chrome\User Data\*\Local Extension Settings\* và các đường dẫn ví (Coinomi, Bitcoin)

Kết luận

Lumma Stealer là một infostealer hoạt động mạnh theo mô hình MaaS, với khả năng đánh cắp dữ liệu đa dạng và kỹ thuật né tránh ngày càng tinh vi. Dù đã bị gián đoạn hạ tầng trong năm 2025, malware này nhanh chóng phục hồi nhờ cơ chế C2 linh hoạt và hệ sinh thái affiliate rộng.

Trước mối đe dọa này, việc kết hợp giám sát network, tăng cường EDR và nâng cao nhận thức người dùng là yếu tố then chốt để phát hiện và giảm thiểu rủi ro.

Tài liệu tham khảo (References)

[1] Lumma Stealer, Software S1213 | MITRE ATT&CK®

[2] Lumma Stealer: Phân tích các kỹ thuật phát tán và năng lực hoạt động

[3] Threat actors triển khai malware LummaC2 để đánh cắp dữ liệu nhạy cảm

[4] Quay trở lại hoạt động: Lumma Stealer với các phương thức stealth hơn

[6] Loot, load, repeat: Phân tích chi tiết phương thức hoạt động của Lumma Stealer

[7] Lumma Stealer: Mối đe dọa infostealer đang tăng trưởng nhanh – ESET

[8] LummaC2 Stealer: Mối đe dọa nghiêm trọng đối với người dùng crypto | CSA

[9] Phân tích Lumma Stealer – trellix.com

CÔNG TY CỔ PHẦN DỊCH VỤ CÔNG NGHỆ DATECH

• Địa chỉ: Số 23E4 KĐT Cầu Diễn, Tổ 7, Phú Diễn, Bắc Từ Liêm, Hà Nội

• Điện thoại: 0243 201 2368

• Hotline: 098 115 6699

• Email: info@datech.vn

• Website: https://datech.vn