FBI和CISA聯合公告LummaC2攻擊手法
- Hao Chen Lu
- 6月12日
- 讀畢需時 3 分鐘
Source: TWCERT/CC台灣電腦網路危機處理暨協調中心
top of page
搜尋
2025年5月中旬,美國聯邦調查局(FBI)與美國網路安全暨基礎設施安全局(CISA)聯合發布公告,揭露LummaC2攻擊手法,並公開攻擊者的已知策略、技術和程序(TTP)以及攻擊指標(IoC)。 LummaC2是一種資訊竊取惡意軟體,常透過魚叉式釣魚連結和附件,誘使受害者下載並執行惡意payload。 攻擊者還會偽造CAPTCHA,誘騙毫無戒心的使用者點擊執行。 該CAPTCHA實際上包含指令,會自動開啟windows執行視窗並貼上內容,當受害者按下「Enter」鍵後,惡意的Base64編碼PowerShell腳本即被執行,進而完成攻擊流程。 為了混淆追蹤與規避防禦,攻擊者將LummaC2嵌入偽裝成流行軟體中,藉此繞過端點偵測和回應系統(EDR)及防毒軟體等標準網路安全措施。 一旦受害者電腦系統遭感染,LummaC2會自動竊取用戶的敏感資料,包括個人身分訊息、財務憑證、加密貨幣錢包等,對受害者造成嚴重資安威脅。 執行LummaC2.exe後的運作流程可分為以下幾個步驟: 執行LummaC2.exe時,程式會顯示解密對話框,詢問使用者是否繼續操作。 選擇「Yes」,程式將進行解密並呼叫命令與控制(C2)網域;若選擇「No」,程式即退出。 解碼後的C2網域會被惡意程式用以發送POST請求。 當請求成功時,解碼後的網域字串指標會儲存在全域變數中,供後續檢索與解析JSON格式的回應資料。 程式利用API查詢受害者的使用者帳號名稱和電腦名稱,並將資料進行雜湊處理與比對。 若比對成功,則呼叫最終子程式,啟動後續惡意行為。 針對LummaC2等資訊竊取惡意軟體的威脅,企業與個人應持續強化資安防護措施。 建議啟用多因子認證(MFA),有效防止未經授權的帳號登入;同時定期更新作業系統與應用程式,修補已知漏洞以降低攻擊。 此外,應加強員工資安教育教育,提升對網路釣魚及社交工程攻擊的辨別與警覺性,並定期進行模擬演練和強化意識。 同時,軟體應從官方管道下載,避免使用來路不明或盜版程式,以降低被植入惡意程式的風險。 面對不斷演進的資安威脅,唯有多層防禦與持續監控,才能有效降低。 詳細IoC請參考CISA官方公告網址:https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141b
2025年5月中旬,美國聯邦調查局(FBI)與美國網路安全暨基礎設施安全局(CISA)聯合發布公告,揭露LummaC2攻擊手法,並公開攻擊者的已知策略、技術和程序(TTP)以及攻擊指標(IoC)。 LummaC2是一種資訊竊取惡意軟體,常透過魚叉式釣魚連結和附件,誘使受害者下載並執行惡意payload。 攻擊者還會偽造CAPTCHA,誘騙毫無戒心的使用者點擊執行。 該CAPTCHA實際上包含指令,會自動開啟windows執行視窗並貼上內容,當受害者按下「Enter」鍵後,惡意的Base64編碼PowerShell腳本即被執行,進而完成攻擊流程。 為了混淆追蹤與規避防禦,攻擊者將LummaC2嵌入偽裝成流行軟體中,藉此繞過端點偵測和回應系統(EDR)及防毒軟體等標準網路安全措施。 一旦受害者電腦系統遭感染,LummaC2會自動竊取用戶的敏感資料,包括個人身分訊息、財務憑證、加密貨幣錢包等,對受害者造成嚴重資安威脅。 執行LummaC2.exe後的運作流程可分為以下幾個步驟: 執行LummaC2.exe時,程式會顯示解密對話框,詢問使用者是否繼續操作。 選擇「Yes」,程式將進行解密並呼叫命令與控制(C2)網域;若選擇「No」,程式即退出。 解碼後的C2網域會被惡意程式用以發送POST請求。 當請求成功時,解碼後的網域字串指標會儲存在全域變數中,供後續檢索與解析JSON格式的回應資料。 程式利用API查詢受害者的使用者帳號名稱和電腦名稱,並將資料進行雜湊處理與比對。 若比對成功,則呼叫最終子程式,啟動後續惡意行為。 針對LummaC2等資訊竊取惡意軟體的威脅,企業與個人應持續強化資安防護措施。 建議啟用多因子認證(MFA),有效防止未經授權的帳號登入;同時定期更新作業系統與應用程式,修補已知漏洞以降低攻擊。 此外,應加強員工資安教育教育,提升對網路釣魚及社交工程攻擊的辨別與警覺性,並定期進行模擬演練和強化意識。 同時,軟體應從官方管道下載,避免使用來路不明或盜版程式,以降低被植入惡意程式的風險。 面對不斷演進的資安威脅,唯有多層防禦與持續監控,才能有效降低。 詳細IoC請參考CISA官方公告網址:https://www.cisa.gov/news-events/cybersecurity-advisories/aa25-141b See more: https://www.twcert.org.tw/tw/cp-104-10179-0dc1e-1.html
最新文章
查看全部Source: IThome新聞 位處全球地緣政治衝突的熱區,臺灣這幾年面臨的網路攻擊活動大幅增加,時至2025年底,多家資安廠商陸續發表年度威脅態勢的回顧與展望。 首先,是11月底Fortinet全球威脅情報副總裁Derek Manky公開1月至9月的觀測結果。 位處全球地緣政治衝突的熱區,臺灣這幾年面臨的網路攻擊活動大幅增加,時至2025年底,多家資安廠商陸續發表年度威脅態勢的回顧與展望。 首
Source: IThome新聞 在現代商業競爭上,顧客體驗(Customer Experience)已成為企業勝出的關鍵戰略,而非僅僅是附加價值。 根據麥肯錫(McKinsey)的研究,提供優質顧客體驗的企業,其營收成長速度比競爭對手快1.5倍,股東回報率更是高出60%。 這不僅是一組數據,更是一個無法忽視的市場現實:忽略顧客體驗,企業終將被市場邊緣化。 更加值得深思的是,貝恩公司(Bain &
Source: IThome新聞 微軟在.NET 10正式版中導入新的統一建置架構(Unified Build),重整產品建置與發行流程,讓版本更新與安全修補的速度與可預測性大幅提升。 官方提到,這項改造是.NET團隊近4年投入基礎建置工作的成果,結合原先Linux原始碼建置經驗,目標是簡化多儲存庫開發造成的建置延遲與維護負擔。 微軟在.NET 10正式版中導入新的統一建置架構(Unified B
bottom of page
留言