ルンマースティーラー(Lumma Stealer)マルウェアの分析

◈ 重要なポイント (Key Findings)

• 単独の脅威に留まらず、ランサムウェア、アカウント情報の窃取、内部ネットワークへの侵入といった多段階攻撃の初期侵入経路として悪用
• ウェブブラウザのCookie、暗号資産ウォレット、VPN・RDPアカウントなど、高付加価値のクレデンシャル情報が主な窃取対象
• 窃取された機密データは、なりすまし、金融詐欺、企業ネットワークへの侵入など、様々な攻撃に再利用
• 振る舞い検知と脅威インテリジェンス連携が可能なEDRによる体制強化が主要な対応戦略

1. 概要 (Overview) 

近年、サイバー脅威は巧妙化・高度化が進み、進化を続けています。これにより、サイバーセキュリティは個人と企業双方にとって重要なセキュリティ課題として浮上しています。

特にインフォスティーラー(Infostealer)マルウェアへの感染は、被害者の端末システム内で不正な動作を実行する代表的な高リスクの攻撃経路と見なされています。このマルウェアは、ユーザの認識なしに機密情報を窃取し、その結果、データプライバシー侵害、金銭的損失、企業ブランドイメージの低下といった直接的・間接的な被害につながる可能性があります。

インフォスティーラーを基盤とした攻撃は、一般的に組織化されたサイバー犯罪グループによって実行され、窃取された情報はダークウェブ(DarkWeb)で取引されます。その後、この情報は、なりすまし(Identity Theft)、金融詐欺(Financial Fraud)、二次攻撃(Secondary Exploitation)など、多様な不正行為に再利用される可能性があるため、個人および企業双方にとって深刻な脅威要因となっています。

インフォスティーラーは、単独の脅威に留まらず、ランサムウェア、アカウント情報の窃取など、複合的な攻撃の初期段階として悪用されています。したがって、振る舞い検知と脅威インテリジェンス連携が可能なEDR体制の強化が重要です。本報告書は、インフォスティーラーの脅威動向と実際の攻撃事例を分析し、組織が効果的な対応戦略を策定する上で参考資料を提供することを目的としています。

2. 背景 (Background) 

2-1. サービスとしてのマルウェア(MaaS)の概念

MaaS(Malware-as-a-Service)は、サイバー犯罪者がマルウェア作成ツール、コマンド＆コントロール(C2)サーバ、拡散インフラなど、攻撃実行に必要なリソースをサービス形式で提供するモデルです。提供者はサービス利用に対する手数料やサブスクリプション料を請求し、これにより第三者は自らマルウェアを開発・運用することなく攻撃キャンペーンを実行できます。

すなわち、攻撃インフラの開発・維持・運用はMaaS提供者が専門的に担当し、ユーザは一定の費用(サブスクリプションベースまたは都度払い)を支払うことで、容易にマルウェアの流布および攻撃実行能力を提供する仕組みです。

Lummaは、MaaSベースで流通する代表的なインフォスティーラーの一つと言えます。MaaSモデルの主な特徴は以下の通りです。

• 容易なアクセス性
  • プログラミング技術のない攻撃者もMaaSを利用すれば、容易に攻撃が実行できます。
  • このサービスはダークウェブ、テレグラム、ウェブフォーラムといった非公開オンラインチャネルを通じて販売されます。
• モジュール化・カスタマイズのサポート
  • 攻撃ツールはモジュール化されており、ユーザは必要に応じて機能をカスタマイズできます。
  • C2サーバ接続方式など、多様な攻撃オプションを調整できます。
• 収益構造
  • 開発者はサブスクリプション料、利用料、または窃取したデータ共有方式を通じて収益を確保します。
  • 攻撃者はこのツールを使用して容易に攻撃を実行し、窃取したデータを再販して金銭的利益を得ます。
• 継続的なアップデート提供
  • 検知回避と新機能追加のために、開発者は定期的にマルウェアをアップデートします。

2-2. サイバー犯罪産業におけるMaaSエコシステム

MaaSは、SaaS(Software-as-a-Service)モデルを悪用した派生形態であり、CaaS(Cybercrime-as-a-Service)エコシステムの下位構成要素の一つに分類されます。このようなMaaSおよびCaaSベースの市場は、主にダークウェブ(DarkWeb)や特定の閉鎖型フォーラムで活発に取引されています。

MaaSエコシステムでマルウェアを製作・配布し、運用インフラを管理する主体はMaaSオペレーターと呼ばれます。彼らは単独の個人ではなく、多くの場合マルウェア開発者、C2サーバおよびインフラ管理者、アクセス権限管理者、技術サポート担当などに役割が細分化された組織的な体制で活動しています。

MaaSオペレーターは一般的に多様な種類のマルウェアをサービス形式で提供しており、主な分類は以下の通りです。

• ランサムウェア (Ransomware)
  • 被害者のデータへのアクセスを遮断し、復号鍵提供の代償として金銭を要求するマルウェアです。MaaSモデルでは主にファイル暗号化ベースのランサムウェアが提供され、攻撃者はみづから開発することなく暗号化・復号化機能を活用して金銭的な利益を得ることができます。
• インフォスティーラー (Infostealer)
  • 被害者システムのブラウザ認証情報、セッションCookie情報、パスワード管理プログラムに保存されたアカウント情報など、機密データを収集した後、遠隔地の攻撃者サーバーに転送するマルウェアの一種です。これはアカウントの窃取および二次攻撃に活用されます。
• バックドア (Backdoor)
  • 攻撃者に被害者システムに対する持続的かつ隠密なリモートアクセス権限を付与します。これにより、情報収集、権限昇格、追加マルウェアのインストールなど、長期的な侵入活動が可能になります。

2-3. 脅威の影響 (Threat Impact)

MaaSモデルは、サイバー犯罪活動への参入障壁を大幅に低下させるとともに、多様な影響を及ぼします。

• 攻撃難易度の低下
  • MaaSモデルは、商用化されたマルウェア、運用インフラ、そして技術サポートをサービスとして提供することにより、攻撃準備プロセスを単純化します。これにより、プログラミング能力やセキュリティ専門知識が不足している個人でさえも容易に攻撃キャンペーンを実行できるようになり、サイバー犯罪の参入障壁が大幅に低くなります。
• 攻撃規模の拡散
  • MaaSモデルは、多数の攻撃実行者(affiliates)が同一のマルウェアを基盤として攻撃を実行できるようにサポートします。このような構造は、同一マルウェアが様々な攻撃キャンペーンで繰り返し活用されるようにし、サイバー攻撃の規模と頻度を飛躍的に増加させる効果をもたらします。
• 脅威帰属(Threat Attribution)の複雑性の増加
  • 同一のマルウェアが複数の脅威アクターによって共有・活用されることで、攻撃手法が均質化され、出所の特定が困難になります。これは特定の攻撃を特定のグループや個人に特定することを困難にし、法執行機関やセキュリティ専門家が遂行するデジタルフォレンジックおよびアクター追跡プロセスの複雑性を非常に高めます。

3. 分析 (Analysis)

3-1. Lumma Stealer

Lummaは、Windowsオペレーティングシステムをターゲットとする代表的な情報窃取型マルウェア(Infostealer)の一つです。2022年8月の初登場以降、現在まで世界的に活発に流布されており、2025年9月にはANY.RUNにアップロードされたマルウェアの中で「Week’s Threats」の1位を記録したこともあります。

[図 3-1] ANY.RUN 週間マルウェアランキング

Lumma Stealerは、サービスとしてのマルウェア（MaaS）として運営され、サブスクリプション方式の支払いだけで誰でも利用できる点が特徴です。これにより、専門知識や開発能力が不足している攻撃者でも攻撃を実行できるため、Lumma Stealerを使用した攻撃事例が継続的に発見されています。

Genians Security Center(GSC)は、Nullsoft Scriptable Install System(NSIS)でパッケージ化されて流布されるLumma Stealerを確認しました。このファイルは、違法ソフトウェアに偽装されており、フィッシングサイトで流布されています。

このファイル内部には、分割されたAutoItモジュールと悪性AutoItスクリプトが含まれています。実行時に分割されたファイルを再結合および実行し、難読化されたシェルコード(Shellcode)をメモリにロードし、プロセスホローイング(Process Hollowing)技術を使用してAutoItプロセスをLumma Stealerに置き換えて実行した後、C2と通信しながら情報の窃取を実行します。

[図 3-2] Lumma Stealerの攻撃フロー

このようなNSISパッケージング、AutoItスクリプト、シェルコードインジェクション、およびプロセスホローイング(Process Hollowing)技術は、シグネチャベースの検知と分析をさらに困難にします。

また、攻撃者らは流布サイトのURLや配布ファイルを変更することによって流布・感染の手口を改良しており、単一の指標に依存した防御だけでは効果的な対応が困難です。したがって、EDRを通じた振る舞い検知と対応が必須です。

3-2. 流布プロセス

Lumma Stealerは、主に不正コピーやクラックプログラムに偽装されており、下記の図のようなフィッシングサイトを通じて流布されています。

[図 3-3] Lumma Stealerの流布サイト

上記サイトのダウンロードリンクをクリックすると、2番目のサイトにリダイレクトされますが、これは以前のサイトとの関連性を隠し、セキュリティ対策やレピュテーションベースの遮断を回避するための意図と解釈されます。

また、モニタリングの結果、リダイレクト先のサイトURLが周期的に変更されている事実を確認しました。攻撃者はURLを頻繁に変更し、検知と追跡を回避するように設計したものと見受けられます。

[図 3-4] リダイレクトページ

最終的にダウンロードが行われるホストはMEGAクラウドです。攻撃者は合法的なクラウドサービスを流布インフラとして活用することで、IP/ドメイン遮断を迂回しようとしていると見受けられます。

[図 3-5] MEGAクラウドの配布画面

[図 3-6] Genian EDRで検知されたダウンロードファイル

3-3. NSISファイルの分析

上記のサイトでファイルをダウンロードすると、パスワードで圧縮されたZIPファイルが保存されます。ファイル名に含まれたパスワードを使用して圧縮を解除すると、NSISでパッケージ化された「setup.exe」という名前のファイルが確認できます。

[図 3-7] setup.exe ファイル

NSISは、ソフトウェアを配布するために使用されるオープンソースのインストール作成ツールで、小さなサイズと高い圧縮率、そしてスクリプトベースのインストールプロセス制御機能を提供するという利点から、プログラムのインストールに頻繁に活用されています。

しかし、このような特性から、攻撃者がマルウェアを正常なインストールプログラムのように偽装して配布したり、インストールプロセスで追加ペイロードを密かにドロップ(Drop)および実行する手段として悪用されることもあります。

「setup.exe」ファイルが実行されると、まず内部に含まれている悪性ファイルを '%Temp%' パスにドロップします。

[図 3-8] Temp フォルダにドロップされた悪性ファイル

[図 3-9] Genian EDRで検知されたファイルドロップの振る舞い

ファイルのドロップが完了すると、cmd.exeを通じて「Contribute.docx」ファイルを実行します。

[図 3-10] Genian EDRで検知されたcmdコマンド

3-4. Contribute.docx ファイルの分析

「Contribute.docx」ファイルには、ダミーコードと難読化されたcmdコマンドが含まれています。最終的に実行されるcmdコマンドには、ドロップされたファイルを再結合して悪性AutoItファイルを生成し、実行する機能が含まれています。

[図 3-11] Contribute.docx ファイル

cmd.exeで実行された「Contribute.docx」は、まず「tasklist」と「findstr」コマンドを使用して、下記リストにあるセキュリティプロセスが実行中であるかを確認します。

• SophosHealth : Sophosセキュリティソリューション
• nsWscSvc : Norton Securityセキュリティソリューション
• Ekrn : ESETセキュリティソリューション
• Bdservicehost : Bitdefenderセキュリティソリューション
• AvastUI, AVGUI : Avastセキュリティソリューション
  
  

もし、上記に該当するセキュリティソリューションが確認されない場合、悪性AutoItスクリプトを実行するために、変数に実行ファイルおよび拡張子を設定する事前作業を実行します。

[図 3-12] セキュリティソリューション確認コマンド

[図 3-13] Genian EDRで検知されたtasklist, findstrコマンド

次に「extrac32.exe」を使用して「Make.docx」ファイル名に偽装されたCAB圧縮ファイルを解凍します。このCABファイル内部には11個のファイルが含まれており、以降のプロセスでAutoItプログラムを生成するために使用されます。

[図 3-14] 圧縮解除されたMake.docx

[図 3-15] Genian EDRで検知されたextrac32.exeの圧縮解除の振る舞い

その後、565905という名前のフォルダを生成し「Copy /b /y」コマンドを使用してAutoItプログラムと悪性AutoItスクリプトファイルを結合します。

[図 3-16] Copyコマンドを通じて再結合されたAutoIt3.exeとAutoItスクリプト

最終的にRiding.pif(AutoIt3.exe)を通じてA(悪性AutoItスクリプト)ファイルが実行されます。

3-5. AutoItスクリプトおよびLumma Stealerの分析

「A」ファイルはコンパイルされたAutoItスクリプトファイルで、セキュリティソリューションの検知と分析を妨害するために、ダミーコードとASCIIコードを通じて難読化されています。

難読化を解除すると、文字列は確認可能ですが、多数のダミーコードが挿入されており、全体的な分析を妨害しています。

[図 3-17] 難読化を解除したAutoItスクリプト

Riding.pif(AutoIt3.exe)を通じてAutoItスクリプトが実行されると、シェルコードを使用して難読化されたLumma Stealerを復号化する作業を行います。

その後、AutoItスクリプトはプロセスホローイング(Process Hollowing)技術を利用してLumma Stealerを実行します。実行されたLumma Stealerは、外見上は「Riding.pif」プロセスに見えますが、実際には内部でLumma Stealerが動作しています。

[図 3-18] Riding.pifプロセスにインジェクションされたLumma Stealer

次に、Lumma Stealerは暗号化されたC2ドメインを復号化し、C2サーバと通信を行います。分析当時に確認されたC2情報は以下の通りです。

[表 3-1] C2情報

最終的にLumma Stealerは、ウェブブラウザに保存された認証情報、テレグラムデータ、暗号資産ウォレットなどの情報を収集し、C2に転送します。Lumma Stealerが主に奪取するデータリストは以下の通りです。

• Chrome, Edgeなどウェブブラウザに保存されたアカウント情報
• OutLookなどメールデータ
• テレグラムデータ
• 暗号資産データ
• リモートプログラムデータなど

[図 3-19] Genian EDRで検知された情報奪取の振る舞い

したがって、ウェブブラウザにアカウント情報を保存しないようにし、全てのアカウントに対して多要素認証(MFA)を適用して、異常な挙動を事前に検知するためのセキュリティモニタリングを導入することが必要です。

4. 結論と対応(Conclusion) 

Genian EDRは、攻撃ストーリーラインを通じてマルウェアの実行フローを可視化し、セキュリティ担当者が脅威を迅速に識別し、即座に対応できるよう支援します。

[図 4-1] Genian EDR攻撃ストーリーライン

この種類のLumma Stealerは、NSISパッケージ内部に挿入されたAutoItスクリプトを隠して実行することを狙っています。パッケージファイルは内部にマルウェアを分割して含んでいるため、脅威要素を識別することが困難です。

このような脅威を識別するためには、端末で発生するファイルおよびプロセスイベントを調査し、それに基づく実行フローを分析する必要があります。

EDR製品は、既知の脅威だけでなく、シグネチャベースのソリューションを回避を目的とした攻撃技法まで検知することができます。

5. セキュリティ侵害インジケーター (IoC, Indicator of Compromise)  

• MD5

E6252824BE8FF46E9A56993EEECE0DE6

E1726693C85E59F14548658A0D82C7E8

19259D9575D229B0412077753C6EF9E7

2832B640E80731D229C8068A2F0BCC39

95C3FCDDDA57DE75975733B5512E53FB

E489D88D670EB56D42FEAA4C9C74C4FE

5FE10C629656EEBE75062D6E9000B352

• Domain

diadtuky[.]su

rhussois[.]su

todoexy[.]su

• IP

58.56.31[.]64

64.31.56[.]58

64.227.2[.]250

109.104.153[.]203