尊龙凯时

首页 > 清静研究 > 研究报告 > 攻击与威胁剖析

从AI诱饵到自动化攻击组织的一次深度剖析与溯源

宣布时间 2025-08-07

第一章概述

近期，尊龙凯时ADLab在威胁狩猎平台上发明多起伪装成为AI大模子应用程序的网络攻击。通过对这批攻击的恒久追踪和剖析，我们发明这些看似零星的使用AI大模子热度举行撒播的攻击，着实背后隐藏着一个具有高度组织化、自动化和全球化运营特征的黑客组织。在长时间的溯源和追踪后，最终网络到了大宗与该黑客攻击运动相关的样本、基础设施以及运动情报数据�；谡庑┦莸钠饰�，我们发明该黑客组织通过构建了一整套自动化网络攻击系统来实现规�；腃2治理、自动化的基础设施设置、机械人化的社群撒播、批量化的恶意软件天生与分发等等功效，其中C2的自动化天生还具备了熵值和语义绕过的机制。

在今年以来，种种以AI作为话题和诱饵的攻击一再泛起，我们也在2月份第一时间发明了银狐APT组织使用正当DeepSeek安排软件举行攻击的清静威胁。在一连的几个月中，虽然依然保存许多零星使用AI的在野攻击，但这些攻击并没有一连性。直到我们注重到一系列与GPT相关的恶意载荷的泛起如“AI GPT4 TRADING BOT.rar”、“ChatGPT4 Online.rar”、“ChatGPT-Gemini4.rar”和“OpenAI GPT Images.rar”等，只管这类伪装在今年的投毒样本中早已司空见惯，但这些载荷所关联出的黑客行为数据并非我们此前所看到零星攻击那么简朴。通过对这批样本举行相似性匹配并团结二进制特征举行聚类剖析，我们总共发明了4431个强关联载荷，其中涉及的基础设施有1927个，虽然我们网络到的数据并不完整，甚至只是其冰山一角。同时通过其投放源头剖析、撒播渠道、恶意软件特征我们确信这并不是由玄色工业链（保存大宗最后黑客）做的样本生产，而仅仅就是一个黑客组织通过其背后自动化攻击系统批量天生。

在我们发明的4431个原始攻击载荷中，除了使用AI话题举行诱导和扩散外，黑客还生产了大宗如“Free NordVPN.rar”、“Adobe Photoshop + Crack.rar”、“Steam Account Checker 2025.rar”和“PornHub Downloader Video.rar”等的攻击样本，这些诱饵文件名称笼罩了从VPN破解、盗版软件、账号检测器到色情内容下载等多种目的场景。该组织有意识地设计出一套多元化诱饵，笼罩更普遍的潜在目的。

在追踪剖析历程中同时，我们对恶意载荷举行了多次解密获得恶意载荷的焦点负载，并最终确认被投放的恶意软件为目今非�；钤镜那悦苣韭怼狶umma Stealer。攻击载荷通过三阶段的payload解密、团结历程注入、花指令、代码混淆以及API动态挪用等方法来对抗剖析。该木马自2022 年起在地下论坛迅速盛行，作为一款“恶意软件即服务”（MaaS）Stealer，其具备�？榛芄购颓渴⒌氖萸匀∧芰Γ喝缜匀′榔髅苈胗隒ookies、加密钱币钱包、FTP/VPN/email客户端设置文件等多种敏感数据。同时依附其轻量化和优异的免杀特征，该木马被包括“Scattered Spider hacking group”、“Black Basta”、“Storm-1607”和“FatherOfCarders”以及“Moon Cloud”在内的多个著名黑客组织所普遍接纳，成为网络犯法分子的主要攻击武器。别的，在去年的PowerSchool 攻击事务中， Lumma Stealer作为初始入侵阶段的主要入口，导致凌驾 7,000 万纪录泄露，这些犯法分子使用其加入信用卡诓骗、初始会见权销售、加密钱币偷窃等。与此同时，微软、美国司法部和欧洲刑警组织等在今年5月份的团结行动时代，查出至少394,000 台 Windows 电脑受到 Lumma Stealer熏染。

在本次追踪剖析中，我们通过解密乐成还原并关联出一大批恶意域名、恶意URL和更大宗的恶意样本，并团结前期网络的数据和黑客相关的情报信息，对基础设施开展溯源与关联剖析，进而建设起一套较为完整的攻击基础设施画像。配合开放情报源清静台数据，我们追踪到了其背后的黑客组织在多个社交媒体平台上布设的垂纶诱导资源、指导链接以及大宗与之配套的机械人账号。从剖析的效果来看，黑客投入的基础设施不但规�？晒�，且具备高度�？榛退秤π�，显示出成熟的攻击能力与运维能力。团结其一连投放Lumma Stealer等窃密木马的行为可以判断，该组织的焦点目的是在全球规模内大规�；袢∮没舾惺萦胧肿什�。其攻击并非零星试探，而是一次经由充分准备、明确目的、成系统执行的网络犯法行动。本文将围绕此次攻击中的诱饵文件撒播方法、基础设施搭建、攻击目的特征及典范样本举行深入剖析与说明。

第二章撒播路径剖析

通过恒久的追踪我们网络到了大宗的样本及相关数据，然后我们对这些样本和数据举行了系统性关联剖析，试图还原出这批攻击的撒播路径及撒播源头。我们以动态行为日志、URL特征、要害字监控和多平台溯源等手段，准确地找到了攻击源，该黑客组织的主要攻击载荷源头有：即时通讯软件Telegram、文件分享平台MediaFire和4shared以及GitHub客栈、论坛帖子等。

2.1、Telegram频道

在追溯攻击载荷的源头时，我们发明最多泉源为即时通讯软件Telegram。在此历程中，我们就在追踪某个名为“ChatGPT4 Online.rar”的恶意压缩包样本时，竟意外揭开了攻击者使用Telegram实现自动化撒播的一角。这个伪装成热门AI工具的样本最初泛起在一个名为“Private Program Arhive 2025”的私人频道中，该频道的建设时间为2025年6月18日，订阅用户仅267人，如图1所示。

图片1.png

图1 某私人频道

通过对该频道的监控发明，一旦该频道泛起新攻击样本，这些样本就会瞬间泛起在其他频道上，然后我们将这些频道纪录下来。在长时间的追踪和视察之后，我们发明该频道是所有频道的最终样原泉源，该频道总共267个订阅者，却没有任何谈天纪录和活跃度，不过一旦频道中保存恶意软件分享时，会被这些订阅者快速转发到别的频道上。

因此通过追踪转发的目的频道，我们网络到了一些下游的撒播路径，下游频道中大部分是正�；钤镜钠档溃ǚ呛诳妥越ㄆ档溃�，甚至部分频道是极端活跃的好比“SILVER BULLET CONFIGS” 和 “VIP HitMaster? Program”，这两个频道的人数划分高达6383和51419人，并且恒久关注“手艺和应用程序”和“加密钱币”等话题。这种频道关于黑客来说是一种极佳的撒播频道。我们追溯到的其他频道尚有：Mother Flame（订阅数:7900，加密钱币频道）、BMA (Books)[]（订阅数4099，电子书籍频道）、DeVoReCords（订阅数2846，手艺和应用程序频道）、Chat GPT 2025（订阅数2738，AI工具频道）和SL CAT EHI FILES ?[] [ 02 ]（订阅数2487，手艺和应用程序频道）等。虽然尚有大宗下游频道由于某些限制无法加入，有的已经被Telegram封禁。

不过在我们跟踪历程中发明多个完全无关联的频道，在统一时间点同步宣布了统一批恶意压缩包。例如，在2025 年3月9日 22:54这个时间点，一批样本被同时转发到 “DeVoReCords” 和 “Mother Flame”频道；又如在2025年6月18日下昼02:48这个时间点，一批样本同步泛起在 “SILVER BULLET CONFIGS”和“BMA (Books)[]” 等频道中（如图2所示）。这一征象扫除了人工操作的可能性，这批注这些恶意样本的原始宣布行为由统一的Telegram机械人控制，并通过关注话题批量地植入多个 Telegram 频道中执行投放使命。

图片2.png

图2 恶意程序被其他频道同步转发

我们将部分转发纪录和相关的频道列到表1中，从转发时间来看，攻击者至少从去年12月份就最先投放此类恶意软件，在今年3月份、5月份和6月份又划分实验了麋集的样本投放，致使这些样本在这段时间举行了大规模撒播。

频道名称	订阅人数	转发时间	国家	种别
VIP HitMaster? Program	51419	/	马来西亚	加密钱币
Mother Flame	7900	2025.03.3001:552025.03.26 04:15 2025.03.09 22:542025.03.07 21:39 2024.12.14 00:02	印尼	加密钱币
SILVER BULLET CONFIGS	6383	2025.06.1814:48 2025.06.09 21:40 2025.06.09 08:30 2025.06.05 03:35 2025.06.04 03:41 2025.05.23 01:46 2025.05.22 22:58 2025.05.09 00:09 2025.05.05 02:30 2025.05.01 03:49	荷兰	手艺和应用程序
BMA ( Books ) []	4099	2025.06.1814:48 2025.06.09 21:40 2025.06.09 08:30 2025.06.05 03:35 2025.06.04 03:41 2025.05.23 01:46 2025.05.22 22:58 2025.05.09 00:09 2025.05.05 02:29 2025.05.01 03:49	伊拉克	书籍
DeVoReCords	2846	2025.05.3001:57 2025.03.26 04:13 2025.03.09 22:542025.03.07 21:39	美国	手艺和应用程序
Chat GPT 2025	2738	/	/	AI工具
SL CAT EHI FILES ? [][ 02 ]	2487	2025.05.01 03:49	斯里兰卡	手艺和应用程序
Private Program Arhive 2025	267	2025.06.1814:45	/	/
…	…	…	…	…

表1 转发过此类恶意软件的频道

进一步剖析发明，这些机械人账号的运动并不局限于这些频道，它们普遍潜在于AI工具、破解文件分享等全球规模内的多个Telegram频道中，组成了一个自动化、高效率的投放系统。这也诠释了为何一些原本订阅量有限、活跃度低的频道仍能在短时间内实现样本的大规模撒播。

别的，攻击者不但建设了初始投放频道，还提前将多个伪装成通俗用户或热心分享者的自动化机械人账号潜在至大宗正常频道中。这些机械人具备监听、触发、重投放的自动化能力，能依据要害词或指令实时举行信息同步。其背后应是一套自动化的分发、撒播机械人在事情，即黑客启动攻击的指令发出后，自动化机械人自动上传恶意样本，然后自动联动多个机械人账号将统一新闻迅速同步至目的频道，实现恶意软件的指数级扩散。

然而，我们还看到攻击者也在一直顺应和规避审查，他们通过替换频道名称、建装备用频道、使用转发链条等方法一连撒播恶意内容。由于Telegram缺乏高效的文件内容审查机制，攻击者常通过“小频道宣布—大频道转发”的方法，实现恶意文件的快速撒播和熏染量的几何级增添，纵然Telegram官方陆续封禁部分撒播频道，但在平台匿名性强、撒播链条疏散的配景下，恶意软件依旧能迅速在其他频道中卷土重来，难以根除。

2.2、文件分享平台

除了Telegram渠道外，我们还在4shared和MediaFire果真文件分享平台上追踪到了这批恶意文件的撒播痕迹。

图片3.png

图片4.png

图3 4shared平台和mediafire平台上的恶意程序

其中4shared平台允许用户通过果真链接分享压缩包、可执行文件等资源，且对上传文件的清静性审查较为薄弱。好比另外一个名为“AI GPT4 TRADING BOT.rar”的样本（和Telegram上的样本同名但不是统一批样本）也一经被上传到4shared平台（如图3所示），并且该文件的链接被分享到一些论坛中，或被嵌入到仿冒网站中，配上诱惑性话题和文字，诱使用户点击下载。

如图4显示，“AI GPT4 TRADING BOT.rar”的上传日期是2025年4月13日，由名为“Ronildo D.”的用户上传，“Shared from SM-A037M”批注该恶意文件是通过三星手机“SM-A037M”分享的。（4shared 的APP在上传时会读取装备的型号信息并将其作为元数据与文件关联，以显示文件的泉源装备。“SM-A037M”是三星为其 Galaxy A03 Core 手机分派的特定型号。字母和数字的组合代表了装备系列（A系列）、型号（03）、版本（Core）以及销售区域或网络类型）。这体现上传者很可能是在他的三星手机上装置了 4shared 的APP，然后直接通过该APP从手机的存储中选择了 "AI GPT4 TRADING BOT.rar" 文件并上传分享，虽然黑客也可能通过模拟器来操作，不过现在没有显着的证据。

图片5.png

图4 恶意软件的分享信息

图5是4shared平台中，上传者“Ronildo D.”的用户界面。我们可知上传者来自巴西，注册自两年前，该用户现在在4shared平台上拥有7个文件夹，并在该平台分享了120个文件（不过现在这批样本已无法会见）。该账号由于注册得较早，因此可能是黑客通过木马窃取的用户凭证后将恶意程序上传到该账号下，然后在种种社交媒体或者论坛举行撒播。由于黑客的撒播途径较为普遍，且涉及的样本量异常的多，因此，这很有可能也是黑客攻击行动自动化实验的其中一环。

图片6.png

图5 恶意软件上传者信息

2.3、其他渠道

别的，黑客还使用GitHub 客栈、YouTube 和 Facebook广告等渠道举行恶意软件链接的分发（见图6），进一步印证其撒播战略正朝着“多平台、多手段、融合社会工程”的偏向演进。通过多撒播路径叠加和批量样本的自动分发以实现更为普遍撒播。

图片7.png

图6 其他撒播方法

第三章基础设施剖析

在此次攻击的剖析历程中，我们通过对前期网络到的多个恶意软件样本举行关联，同时使用样本的网络通讯特征、外连域名地点、代码指纹等举行扩线和数据网络，获得了大宗的样本和域名数据。早先我们关联并锁定了9个恶意C2服务器地点（见表2）。

pomelohgj.top	voznessxyy.life	insidegrah.run
homewappzb.top	clatteqrpq.digital	descenrugb.bet
grizzlqzuk.live	ninepicchf.bet	snakejh.top

表2关联到的恶意C2服务器地点

随后以这9个恶意C2服务器地点为线索，团结恶意代码二进制指纹、通讯特征、样本标签等多个维度关联线索，追踪到4431个原始攻击载荷。通过对样本哈希举行去重，最终筛选出共计2918个恶意样本。我们对这2918个恶意样本的天生时间举行了统计（见图7），数据显示这些恶意样本的投放运动主要集中在今年的1月、2月、4月和5月，在去年12月仅有1个样本，今年6月与7月也仅有零星投放，泛起出显着的阶段性岑岭，这说明该系列攻击运动在今年最先到5月的行动后，从6月份最先泛起了显着降温。这可能是他们在调解攻击战略，或者攻击被防护手段压制了一阵。

图片8.png

图7 恶意样本天生时间统计

接着，我们以这2918个强关联样本为基础，进一步挖掘其内置或通讯历程中袒露的更多恶意C2服务器地点。通过批量剖析样本设置和网络通讯特征，团结自动化剧本对提取的C2地点举行汇总，剔除重复和无效数据后，最终确认共计771个自力的恶意C2地点，我们这里将部分C2地点列到表3中。

tirepublicerj.shop	tentabatte.lat	lightdeerysua.biz	rockemineu.bond	localixbiw.top
framekgirus.shop	wordyfindy.lat	mixedrecipew.biz	broadecatez.bond	stockyslam.top
abruptyopsn.shop	slipperyloo.lat	affordtempyo.biz	offsetyofcre.bond	narrathfpt.top
cloudewahsj.shop	curverpluch.lat	hoursuhouy.biz	tranuqlekper.bond	citellcagt.top
rabidcowse.shop	shapestickyr.lat	measlyrefusz.biz	moonehobno.bond	cornerdurv.top
wholersorie.shop	observerfry.lat	impolitewearr.biz	reliedevopoi.bond	posseswsnc.top
noisycuttej.shop	manyrestro.lat	pleasedcfrown.biz	quarrelepek.bond	featurlyin.top
nearycrepso.shop	bashfulacid.lat	grandiouseziu.biz	granystearr.bond	threatqjqy.top

表3 部分C2服务器地点

从这些C2域名名称可以显着的看出，其具有自动化天生的特征，这里险些所有域名是由一两个正常英文单词团结有一定随机的字符串组成，看起来像正常词汇，但现实上是无语义的。以往大宗自动化水平较高的黑客组织喜欢接纳DGA或者随机域名来实现C2地点批量化生产，可是该黑客接纳这种看似不起眼的转变着实目的在绕过目今主流的一些恶意域名检测算法，好比这种生产要领可以大大降低熵值以及提高自然语言的语义性，这种处置惩罚在某种水平上可以绕过以静态黑名单手艺、熵值判断手艺、自然语言语义检测手艺为基础的检测系统。

同时，我们还使用自动化剧本对这771个域名的注册者、联系方法、注册机构和注册时间等要害信息举行了追踪和网络，以举行进一步的溯源剖析。然而由于这些域名险些所有启用了隐私�；し�，导致注册人、联系方法、注册机构等字段被隐藏或以匿名信息取代，无法建设域名与攻击者身份之间的关联。别的，我们对这些域名的注册时间举行了统计，效果如图8所示。

图片9.png

图8 恶意C2注册时间统计

从注册时间漫衍上看，在2021到2024年这段时间，恶意域名的注册数目很少，一个月注册量普遍都在20个之下，像是在探索阶段，没怎么有大行动，自2025年头最先注册量显着增添，尤其在1月、2月、4月和5月泛起出集中暴涨的趋势，而到了6月则泛起了显着回落。这一转变纪律与我们前文提取出的2918个恶意样本的天生时间高度重合，二者在时间维度上险些同步。这一高度一致性批注，攻击者在开展大规容貌本投放行动之前，往往会提前批量注册C2域名用于配套使用，这种配套关系，体现出攻击运动背后具备明确的妄想性与组织性。整体感受，黑客是在有妄想、有节奏地铺设攻击基础，接下来的几个月，攻击很可能再次爆发，我们将亲近关注。

在完成上述C2域名的关联剖析之外，我们还进一步对前文筛选出的2918个恶意样本在执行历程中会见的恶意URL举行了统计与归类。为提高准确性，我们对所有会见纪录举行了人工筛选与特征剖析，剔除了部分关联性较弱、疑似误报或非要害的URL，最终整理出1156个高度可信的恶意地点，表4是其中的部分URL地点。这些URL被用于Lumma Stealer执行的后阶段行动，其名堂为“http://ip/files/数字/随机名.exe”，像是攻击者通过自动化剧本动态天生的效果。这些链接大多直连一个硬编码的IP地点，无需剖析域名，显然是为了规避DNS层的监测阻挡。路径中的数字可能代表使命编号、批次标识，而文件名则多为巨细写混淆的伪随机字符串，目的是逃避特征匹配和静态规则。下载的内容涵盖EXE、BAT、PS1等多种名堂，说明攻击者会凭证场景动态投送差别类型的恶意载荷，包括辅助工具、解密�？椤⒆愿禄蚝笮畔⑶匀∽榧�。

恶意URL

http://176.113.115.7/files/1362458159/TZhhGqc.exe

http://176.113.115.7/files/1494968410/cVPsEcV.exe

http://176.113.115.7/files/1494968410/gbz6UL4.exe

http://176.113.115.7/files/1566754488/2KdMigj.exe

http://176.113.115.7/files/1615968338/67e0HNq.exe

http://176.113.115.7/files/1763292343/jrKsxjw.exe

http://176.113.115.7/files/1781548144/6lTXbuX.exe

http://176.113.115.7/files/5149365135/ILqcVeT.exe

http://176.113.115.7/files/5149365135/rXOl0pp.exe

http://176.113.115.7/files/5153162918/Ps7WqSx.exe

http://176.113.115.7/files/5153162918/uW8i508.exe

http://176.113.115.7/files/5153283513/rA6Gys9.exe

http://176.113.115.7/files/5165347769/T3g5uSf.exe

http://176.113.115.7/files/5215106624/82x5hPR.exe

http://176.113.115.7/files/5265591378/bgUvqLl.exe

http://176.113.115.7/files/5419477542/qhjMWht.exe

表4部分恶意URL

从其掌控的大宗恶意基础设施来看，包括陋习模注册的域名资源、可动态切换的漫衍式IP 池、安排在多个社交平台的自动化撒播剧本、机械人账号及伪装账号，该黑客组织展现出显着的系统化、自动化运营特征。这些基础设施不但笼罩规模广、安排无邪，还具备较高的复用性与一连运行能力，反应出其在恶意软件运营方面具备较高的手艺成熟度与富厚的攻击履历。综合其大规模、一连地投放Lumma Stealer等信息窃取类恶意软件的行为模式判断，该黑客组织攻击目的显然面向全球用户的隐私数据与数字资产，具有明确的经济念头与稳固的行动执行机制，属于典范的有组织网络犯法运动。从手艺泉源上推测，该黑客组织很可能依赖自身掌握的一套自动化支持系统来维持上述基础设施的运转，这种自动化支持系统降低了攻击门槛，提升了运营效率，也加剧了此类威胁的隐藏性与顽固性。

第四章攻击目的剖析

我们将该黑客组织在社交网络中宣布的多个伪装文件名、伪装软件类型以及行业用途整理在表5中，从伪装文件名来看，黑客主要围绕两个偏向投放诱饵：一是热门手艺要害词（如 ChatGPT、GPT-4、Gemini、OpenAI GPT），二是破解、灰产工具及盗版资源（如激活工具、账号检查器、VPN、色情下载器、SMTP/IPTV 扫描器等）。表格中的“伪装软件类型”说明晰伪装软件的所属类型，而“行业用途 ”一栏则说明晰其目的受众的兴趣领域或所处行业。从整体命名战略来看，该黑客组织并未针对特定企业或政府机构等高价值目的实验准确投放，而是通过伪装热门要害词和常见破解工具，在互联网多个渠道引流扩散，试图以最小本钱换取最大熏染面。

文件名	伪装软件类型	行业用途
ChatGPT 4 online.rar	AI 工具装置包	面向AI 工具喜欢者 / 开发者
ChatGPT-4 Online.exe	AI 可执行程序	同上
ChatGPT - Gemini 4.rar	AI 工具/多模子整合	对ChatGPT 和 Gemini 有兴趣的用户
AI GPT4 TRADING BOT.rar	自动生意工具	面向数字钱币/ 金融投契者
OpenAI GPT Images.rar	AI 天生图片包	AI 绘图 / 创作者
Fake ID Cards.rar	不法文件资源	网络诈骗/ 骗证件人群
Free NordVPN.rar	破解VPN 工具	想匿名浏览的用户
Free ExpressVPN.rar	同上	同上
Netflix Mail Account Checker 2025.rar	邮箱撞库工具	黑产/ 卡商 / 账号收割者
PornHub Downloader Video.rar	成人内容下载器	成人内容消耗者
SMTP Cracker 2025 version.rar	邮件爆破工具	针对垃圾邮件营销/ 黑客操作职员
Steam Account Checker by Risky 2025.rar	游戏平台账号工具	卡商、盗号者、游戏黑产
TradingView Online Unlimited.rar	金融图表破解版	面向股票/ 加密生意者
AIO Multi Checker v 9.10.rar	多平台检测器	黑产账号验证者
BLTools Logs Checker 3.2 PRO.rar	日志剖析/ 转卖工具	黑产使用
GIFT CARD GENERATOR 25 MODULES.rar	礼物卡天生器	诈骗/ 诓骗意图群体
Netflix Account Checker.rar	账号暴力工具	撞库者/ 黑产使用
Steam Account Checker.rar	同上	同上
Universal IPTV Scan v3.0.rar	网络电视资源工具	破解电视用户/ 卡商
Windows 10 Activatior.rar	系统激活工具	想绕过付费Windows 的通俗用户
Adobe Photoshop + CDkey.rar	破解软件	设计师/ 内容创作者
PhotoShop_V26Fullversion.zip	图像软件	同上
Bitdefender Antivirus + CDkey.rar	杀毒软件破解	想省钱的通俗用户
Avira Antivirus 2025 + CDkey.rar	同上	同上
Microsoft Office 2025 + CDkey.rar	办公软件破解	白领
Windows Activator 2025.rar	系统激活工具	同上
Adobe Photoshop + Crack.rar	图像处置惩罚软件破解	同上
IPTV scanner +Playlist Scanner & Checker 2025.rar	IPTV 扫描工具	破解/盗播 IPTV 用户
netstat.exe	系统工具	模拟正当系统工具，引诱点击
IDM_6.4x_Crack_v19.9.exe	下载器破解	想获取IDM破解的通俗用户

表5伪装的恶意文件名及类型

由表5不难看出，此次攻击更倾向于普遍针对有特定下载需求的通俗用户，尤其是活跃于破解资源、灰产工具和手艺论坛等非正规渠道的群体。例如，使用“ChatGPT4Online”、“AI GPT4 TRADING BOT”、“Gemini 4”等命名，意图吸引希望体验前沿AI工具但缺乏手艺门槛或付费意愿的用户；而“Free VPN”、“Netflix/Steam Account Checker”、“GIFT CARD GENERATOR”等则直指保存盗版使用、账号批量获取等行为倾向的灰色用户群体。别的，带有“Crack”、“CDkey”、“Activator”等字样的文件，则进一步袒露了攻击者将潜在受害者锁定在追求破解激活、不法绕过付费机制的群体之中。此次黑客恶意文件的投放战略虽不重大，却因贴近攻击目的需求、伪装性强，具备较高的疑惑性与撒播效率。

第五章典范样天职析

如图9所示，黑客的攻击流程是这样的：黑客会将恶意程序命名为“AI GPT4 TRADING BOT.rar”等极具诱惑性的名字，然后在各大社交平台或者论坛扩散，通俗用户通过搜索引擎或社交平台误入相关链接并下载执行。恶意程序通过多阶段层层解密payload和历程注入执行，最终向通俗用户装备上投放Lumma Stealer木马。Lumma Stealer木马运行后，会窃取熏染装备上浏览器生涯的密码、Cookies、加密钱币钱包、FTP/VPN/email客户端设置文件等敏感信息，并通过C2服务器实时上传窃取的数据。以下我们将对Lumma Stealer一次典范的攻击举行深入的手艺剖析，包括相关恶意程序的加载流程、要害函数和控制下令等。

图片10.png

图9 攻击流程图

5.1、第一阶段剖析

在对原始恶意样本的剖析历程中，我们发明其接纳了恶意软件经常使用的一种要领“手动映射历程注入法”将恶意PE文件写入正当历程MSBuild.exe 并执行。手动映射注入法不依赖操作系统的标准加载器，而是由恶意代码自行完成PE加载、内存写入和执行流重定向，这种要体会绕过通例加载机制，实现对恶意PE文件的隐藏执行，这样做可以隐藏执行路径，并在一定水平上绕过清静产品的行为检测。

首先，恶意样本通过CreateProcessA 建设一个挂起状态（dwCreationFlags即是4）的 “C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\MSBuild.exe”历程（如图10所示），这样可以阻止目的历程连忙执行原有代码，便于后续操控。

图片11.png

图10 建设挂起的MSBuild.exe历程

接着，其挪用Wow64GetThreadContext获取主线程的寄存器上下文（见图11），主要是为了获取指令入口地点和栈指针，为注入后的跳转做准备。

图片12.png

图11 获取主线程的寄存器上下文

随后，其使用VirtualAllocEx 在目的历程MSBuild.exe中申请一块内存空间，用于安排恶意的PE文件。如图12所示，申请内存的起始地点为0x00400000，申请的内存巨细为0x00165000，第四个参数flAllocationType为0x3000，代表内存分派的类型为“MEM_COMMIT | MEM_RESERVE”，最后一个参数flProtect为0x40，代表内存�；な粜晕癛WE”。

图片13.png

图12申请内存空间

通过多次挪用WriteProcessMemory，其将恶意PE的各个Section逐段写入到MSBuild.exe历程的这块内存中，模拟出一个完整的映像结构（图13是写入恶意文件PE头的操作部分）。

图片14.png

图13 写入恶意文件PE头

如图14所示，在内存结构完成后，样本挪用Wow64SetThreadContext将目的线程的入口地点修改为注入PE的起始地点，即实现了代码挟制。最后，通过ResumeThread恢复被挂起的线程，使其从设置的新入口最先执行，从而实现对恶意代码的隐藏执行。

图片15.png

图14设置线程上下文信息并恢复线程执行

这种注入方法整体操作较为底层，但执行链路短、控制力强，无需落地文件就完成了内存攻击，这使得检测难度显著增添。

5.2、第二阶段剖析

在第一阶段，原始恶意样本新建正当历程MSBuild.exe并向其中注入恶意PE文件并执行，其恶意PE文件执行后会挪用CreateFileW向熏染主机“C:\Users\[username]\AppData\Roaming”目录释放两个恶意程序，恶意程序名称由总长度即是10的字母和数字随机组成，如图15所示。

图片16.png

图15写入恶意文件

释放完恶意程序后，恶意PE文件再挪用ShellExecuteA执行这两个恶意程序，如图16所示。使用这种执行方法，更贴近正常用户操作，不易触发某些AV/EDR的特征规则，常被恶意软件用于绕过部分行为检测。

图片17.png

图16 执行恶意程序

图17即是上述操作释放并执行的两个恶意文件。“HauP0PNxwr.exe”巨细为11,264bytes，认真杀毒软件检测，“KZbu03ZssI.exe” 巨细为1,239,080bytes，用于实验后续的恶意行为。

图片18.png

图17释放的恶意文件

5.3、第三阶段剖析

KZbu03ZssI.exe执行后，会使用和第一阶段同样的“手动映射历程注入法”，建设正当历程“C:\\Windows\\Microsoft.NET\\Framework\\v4.0.30319\\MSBuild.exe”，并向历程MSBuild.exe内存中注入Lumma Stealer恶意软件执行，这里仅列出KZbu03ZssI.exe向MSBuild.exe历程写入Lumma Stealer的PE头以作说明（见图18）。

图片19.png

图18向MSBuild.exe注入Lumma Stealer

5.4、Lumma Stealer剖析

如前所述，经由前面一系列的操作，最初的恶意程序最后向受害者装备投放了窃密工具Lumma Stealer，其自2022 年8月起就以“恶意软件即服务”（MaaS）模式在地下论坛被普遍推广，图19是某黑客论坛上Lumma Stealer的广告，图20是Lumma Stealer差别套餐包括的功效先容。其具备强盛的信息网络与数据外传能力，其主要特征包括窃取浏览器生涯的密码与Cookies、加密钱币钱包信息、FTP/VPN/email客户端设置文件等多种敏感数据和支持插件化功效扩展。Lumma Stealer以其轻量化、高兼容性和绕过检测能力强等特点，在地下市场普遍流通，被“Scattered Spider hacking group”、“Black Basta”等多个攻击组织用于定向信息窃取与初始入侵阶段。

图片20.png

图19黑客论坛上Lumma Stealer的广告

图片21.png

图20差别套餐的功效先容

我们从内存中dump出了此次投放的Lumma Stealer，然后对其举行了逆向剖析，图21是此次分发的Lumma Stealer典范入口函数。

图片22.png

图21 Lumma Stealer 入口函数

Lumma Stealer使用了大宗的花指令和代码混淆以滋扰剖析工具和清静剖析职员，如图22所示。别的，其还使用了动态DLL加载和动态API挪用等方法来对抗清静剖析。

图片23.png

图22 花指令操作

我们首先对Lumma Stealer内置的C2服务器地点举行相识密提取，如图23所示。Lumma Stealer从宣布到版本6，其内置C2设置名堂履历了多次演变，从XOR+Base64到 Chacha20+硬编码再到现在的Chacha20+疏散密钥块，可以预见，内置C2服务器地点的加密手法还会继续升级。

图片24.png

图23 内置的C2地点

随后我们对该Lumma Stealer举行了动态调试，我们动态调试历程中发明，“Lumma Stealer”一次只会选中一个C2服务器举行交互，其首先会检测选中的C2服务器是否处于运动状态，若是不处于运动状态，则选择下一个C2服务器，若是处于运动状态，则发送后续下令。图24是“Lumma Stealer”挪用WinHttpSendRequest向C2服务器发送RECEIVE_MESSAGE下令请求数据的截图。

图片25.png

图24 向C2请求数据

“Lumma Stealer”发送的每个下令都包括一个或多个参数，这些参数作为POST表单数据被发送至目的C2服务器，这些参数和其寄义见表6，表7则是Lumma Stealer一些最常见的下令及其搭配的相关参数说明。

参数	寄义	备注
act	向C2发送的下令	此参数在version 6 中被去除
ver	版本号	这个值总是4.0，并且自Lumma Stealer第一个版本以来从未改变过
lid	用于识别Lumma client	version5和之前
uid	同上	version6
j	可选参数，用于识别附加功效	version5和之前
cid	同上	version6
hwid	熏染装备唯一标识符	/
pid	用于标识被盗数据的泉源	在SEND_MESSAGE下令中使用

表6 参数和其寄义

下令	作用	下令及其相关参数	备注
PING / LIFE	检查C2 是否处于激活状态	act=life	在version6中被去除
RECEIVE_MESSAGE	用于下载Lumma Stealer的设置文件，该文件包括了目的列表的相关信息	act=recive_message&ver=4.0&lid=[]&j=[]	version3和之前
		act=receive_message&ver=4.0&lid=[]&j=[]	version4和version5
		uid=&cid=[]	act在version6中被移除
SEND_MESSAGE	用于分块传送被盗数据	act=send_message, hwid, pid, lid/uid, and j/cid	act在version6中被移除
GET_MESSAGE	用于下载第二个设置文件，该设置文件包括了有关插件以及要装置在目的系统上的其他恶意软件的信息，现在发明安Lumma Stealer会装置新版本剪贴板窃取插件和挖币软件	act=get_message&ver=4.0&lid=[]&j=[]&hwid=	version 5和之前，
GET_MESSAGE		uid=&cid=[]&hwid=	act在version6中被移除

表7 常见的下令及其相关参数

RECEIVE_MESSAGE下令发送给C2服务器后，返回的payload解密后为一个json结构，包括了详细的数据网络指令，提供了完整的浏览器扩展列表和感兴趣的网站列表。该结构分为三个主要部分：ex、mx 和 c。

ex：此列表列出了众多的浏览器扩展程序，主要是加密钱币钱包（好比MetaMask, Ronin Wallet, Trust Wallet, Coinbase）、密码治理器（好比1Password ，LastPass）以及认证工具（好比Authy, EOS Authenticator, GAuth）。每一条纪录都包括一个唯一的标识符（Chrome 扩展程序ID）和一个易于阅读的名称。

mx：此字段为指定的扩展程序提供了特定的指令，好比MetaMask 的纪录中包括了一个“et”参数，该参数带有密码推导设置（迭代次数=600000），其可用于暴力破解攻击或在离线状态下验证密码�；さ目�，此部分可针对需要特殊处置惩罚的高价值目的举行个性化设置。

c：这是该结构中最适用的部分，以下是每个工具的寄义：

t - 窃取类型，体现文件获取的类型，好比文件或注册表

p - 窃取目的路径，通常是%appdata% 或 %localappdata% 路径

m - 匹配模式，筛选特定文件(好比keystore, *.sqlite)

z - 窃取的文件在攻击方一侧要生涯的文件夹(好比Wallets/Ethereum)

d - 窃取目录的深度

fs - 最大文件巨细(好比说20MB)

这些规则明确批注晰Lumma Stealer从加密钱币钱包、浏览器会话、FTP/VPN/email客户端设置文件、密码治理器和通用用户设置文件中窃取敏感信息的意图，图25是一个精简的该结构的例子。

图片26.png

图25 RECEIVE_MESSAGE下令返回的payload解密后的结构示意图

GET_MESSAGE下令的响应则简朴许多，如图26，它包括一个指向远程服务器上托管的PE可执行文件（如netstat.exe）的 URL，u体现下载地点；ft指文件类型（0体现exe，1体现dll，2剧本或其他）；e指文件是否静默执行（0体现正常执行，1体现隐藏执行）。这批注该Lumma Stealer可以通过此渠道吸收后续阶段的指令，可用于更新自身、分发恶意代码或激活特定�？�。

图片27.png

图26 GET_MESSAGE下令返回的payload解密后的结构示意图

Lumma Stealer从最初宣布到现在的版本6，功效一直迭代，其能够窃取大宗敏感数据，包括多个主流浏览器（如Chrome、Edge、Firefox、Opera等）生涯的账号、密码、Cookies、自动填表信息、历史纪录等；其还会窃取加密钱币钱包如Binance、Electrum 和以太坊等钱包；其同样会窃取熏染装备FTP客户端、邮件客户端（如Outlook、Thunderbird）和即时通讯软件的登录凭证以及特定路径文件并支持插件化功效扩展。

Lumma Stealer 的焦点是恶意软件即服务（MaaS）生态系统的规范：网络犯法分子只需支付订阅费（起价为 250 美元/月），即可获得更新的恶意软件版本、仪表板会见、手艺支持和自界说功效，攻击者只需要通过网络仪表板就可以会见被窃取的数据，整个攻击流程实现了“即插即用”，纵然毫无手艺基础的操作者也能轻松上手。这种低门槛、高效率的攻击工具，无疑会给企业与小我私家带来显著威胁。

第六章总结

本次事务展现了一个高度组织化、自动化并具备全球投放能力的黑客整体。他们不但控制着大宗恶意域名与IP资源，还在Telegram等社交平台上安排了重大的自动转发机械人网络。这些机械人潜在于多个热门频道中，一旦吸收到指令，便会将伪装成热门软件的恶意文件迅速推送给成千上万名用户，笼罩规模跨越多个国家与地区。攻击者的目的人群不但限于AI兴趣群体，险些所有使用Telegram、对免费资源感兴趣的通俗用户都有可能成为受害者。其焦点意图是获取全球规模内的敏感信息、数字资产，甚至远程控制权限，充分体现出该组织在投松手段与一连运营方面的高度成熟与隐藏性。

面临这类有组织、高效率的大规模网络攻击，通俗用户不应再抱有“事不关己”的幸运心理。现在，恶意软件的撒播门槛已大幅降低，无需垂纶邮件或误差使用，仅凭社交平台的无羁系情形与诱导性问题，就足以使恶意文件迅速扩散并造成严重影响。应对此类攻击，既需要平台增强内容审核和封禁机制，也离不开清静社区、研究职员与终端用户之间的协作与联防。为避免熏染此类伪装成热门AI工具或破解软件的恶意程序，建议用户始终坚持高度小心，阻止从非官方渠道下载压缩包或可执行文件。所有软件应通过其官方网站获取，阻止装置特殊程序。在翻开任何下载文件前，应使用杀毒软件或在线扫描服务举行清静检查，并确保操作系统及清静产品实时更新。如失慎运行了可疑程序，应第一时中止网，并尽快追求专业手艺支持，以避免信息泄露或装备被远程控制。

参考：

https://www.microsoft.com/en-us/security/blog/2025/05/21/lumma-stealer-breaking-down-the-delivery-techniques-and-capabilities-of-a-prolific-infostealer/

https://www.certego.net/blog/lummastealer/

https://www.trendmicro.com/en_us/research/25/g/lumma-stealer-returns.html

尊龙凯时起劲防御实验室（ADLab）

ADLab建设于1999年，是中国清静行业最早建设的攻防手艺研究实验室之一，微软MAPP妄想焦点成员，“黑雀攻击”看法首推者。阻止现在，ADLab已通过 CNVD/CNNVD/NVDB/CVE累计宣布清静误差6500余个，一连坚持国际网络清静领域一流水准。实验室研究偏向涵盖基础清静研究、数据清静研究、5G清静研究、AI+清静研究、卫星清静研究、运营商基础设施清静研究、移动清静研究、物联网清静研究、车联网清静研究、工控清静研究、信创清静研究、云清静研究、无线清静研究、高级威胁研究、攻防对抗手艺研究。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静服务等。

上一篇下一篇

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 尊龙凯时版权所有京ICP备05032414号京公网安备11010802024551号