Lumma Stealer 活动通过恶意 PDF 部署 Sectop RAT

执行摘要

一个新记录的恶意软件活动使用恶意PDF文档部署Lumma（LummaC2）信息窃取器，然后充当Sectop远程访问木马（RAT）的加载器，也称为ArechClient2。根据SANS互联网风暴中心在2026年4月17日发布的分析，这种双阶段攻击的目标首先是窃取凭证、加密货币钱包和浏览器数据，然后建立一个持久的、隐蔽的后门以完全控制系统。感染链利用PowerShell和批处理脚本来逃避检测，并在受感染的Windows主机上保持持久性。

技术分析

攻击始于受害者打开恶意PDF文件。源分析中没有详细说明PDF利用的确切方法，但指出PDF执行了一个PowerShell命令。这个命令负责从远程服务器下载并执行攻击的下一阶段。

下载的有效载荷是一个批处理脚本（update.bat），执行多个反分析和逃避检查。它尝试通过检查特定的进程名称来识别虚拟化或分析工具的存在，包括vbox、procmon、vmsrvc、vmusrvc和xenservice。如果没有检测到这些，脚本将下载并执行Lumma Stealer二进制文件。

Lumma Stealer，一种以服务形式提供的恶意软件（MaaS），以针对加密货币和敏感数据而闻名，执行其信息窃取功能。至关重要的是，在这次活动中，它还下载并执行了一个额外组件：Sectop RAT。RAT从一个单独的命令和控制（C2）服务器获取，并使用RegSvcs.exe执行，这是一个合法的Microsoft .NET服务安装实用程序，很可能作为一种本地二进制（LOLBin）技术，以融入正常系统活动。Sectop RAT与其操作者建立连接，提供远程桌面控制、文件系统访问和执行任意命令的能力。

入侵指标

目前未识别。

战术、技术与程序

攻击者采用与已建立的网络犯罪手法一致的多层次方法：

• **初始访问（TA0001）：**可能通过钓鱼或分发武器化PDF文件的恶意网站。
• **执行（TA0002）：**使用PDF执行PowerShell命令（T1059.001），触发下载批处理脚本。
• **防御逃避（TA0005）：**批处理脚本包括检查分析环境（T1497.001）。恶意软件使用RegSvcs.exe进行侧加载最终RAT有效载荷（T1218.009）。
• **持久性（TA0003）：**Sectop RAT持久性的机制在源中没有明确详细说明，但RAT通常通过注册表运行键或计划任务实现持久性。
• **命令和控制（TA0011）：**恶意软件与Lumma Stealer和Sectop RAT组件的不同C2服务器通信。
• **收集（TA0009）：**Lumma Stealer旨在从受感染的主机收集凭证、cookie、加密货币钱包和其他敏感数据。

威胁行为者背景

源分析没有将此次活动归因于特定的命名威胁行为者或团体。使用像Lumma Stealer这样的商品恶意软件，结合Sectop RAT（一个已知的地下市场工具），指向以财务为动机的网络犯罪分子。这些策略是机会主义的，旨在破坏广泛的系统以窃取有价值的信息和出售访问权。选择PDF作为初始载体表明活动可能通过垃圾邮件或钓鱼电子邮件分发。

缓解措施与建议

组织和用户可以通过实施以下措施来减轻此类活动的风险：

• **用户培训：**教育用户不要打开未经请求的电子邮件附件，特别是PDF文件，并验证发件人的合法性。
• **应用强化：**考虑限制或监控PowerShell和批处理脚本的执行，特别是从用户目录或临时位置。在可行的情况下实施应用程序允许列表。
• **端点保护：**确保部署并配置端点检测和响应（EDR）解决方案，以检测LOLBin滥用、可疑进程链（例如，PDF → PowerShell → RegSvcs.exe）以及Lumma Stealer和Sectop RAT的已知签名。
• **网络监控：**监控出站网络流量，以连接到与信息窃取器和RAT相关的已知恶意IP或域名。
• **最小权限原则：**限制用户帐户权限，以减少成功执行下载脚本的影响。