【安全资讯】Lumma Stealer通过GitHub传播的网络安全事件分析

概要：

近期，Trend Micro的Managed XDR团队揭示了一项利用GitHub发布基础设施传播Lumma Stealer恶意软件的复杂攻击活动。攻击者通过该平台的安全下载链接，向用户分发包含SectopRAT、Vidar和Cobeacon等多种恶意软件的文件，导致敏感数据泄露和系统被控制。

主要内容：

该攻击活动利用GitHub作为可信平台，攻击者通过发布恶意文件实现初始访问。用户下载的文件会连接到外部的命令与控制（C&C）服务器，执行命令以规避检测。Lumma Stealer及其变种在感染过程中会生成多个目录并进行数据分阶段处理，使用PowerShell脚本和Shell命令实现持久性和数据外泄。

分析显示，此次攻击的战术、技术和程序（TTPs）与Stargazer Goblin组织的活动高度重合，该组织以利用被攻击网站和GitHub进行有效载荷分发而闻名。攻击者通过利用GitHub的发布机制，成功地将恶意软件隐藏在看似合法的文件中，用户在不知情的情况下下载了这些文件。

为了应对这一威胁，组织应采取积极的安全最佳实践，包括在下载文件前验证URL和文件的真实性，定期检查数字证书的有效性，并使用能够检测和阻止恶意活动的终端安全解决方案。通过这些措施，企业可以增强对Lumma Stealer等威胁的防御能力，降低潜在的损失。